Vulnérabilités dans plusieurs produits Cisco

Date de publication :

CVE-2021-1493 [Score CVSS v3 : 8.5] 
Une vulnérabilité dans l'interface des services Web du logiciel Cisco Adaptive Security Appliance (ASA) et du logiciel Cisco Firepower Threat Defense (FTD) a été corrigée. Cette faille est due à une insuffisance des contrôles de limites pour les données spécifiques qui sont fournies à l'interface des services Web d'un système affecté. Son exploitation pourrait permettre à un attaquant distant et authentifié de provoquer un dépassement de tampon mémoire en envoyant une requête HTTP malveillante. Les conséquences de l’exploitation peuvent être un déni de service ou l'exposition de données sensibles.

CVE-2021-1402 [Score CVSS v3 : 8.6] 
Une vulnérabilité dans le gestionnaire de messages SSL/TLS basé sur le logiciel du logiciel Cisco Firepower Threat Defense (FTD)  a été corrigée. Cette faille est due à une validation insuffisante des messages SSL/TLS lorsque le dispositif effectue un décryptage SSL basé sur le logiciel. Son exploitation pourrait permettre à un attaquant distant et non authentifié de provoquer un déni de service en envoyant un message SSL/TLS spécifique.

CVE-2021-1448 [Score CVSS v3 : 7.8] 
Une vulnérabilité dans la CLI du logiciel Cisco Firepower Threat Defense (FTD)  a été corrigée. Cette faille est due à une validation insuffisante des arguments de commande fournis par l'utilisateur. Son exploitation pourrait permettre à un attaquant local et authentifié d'exécuter des commandes arbitraires avec les privilèges de l'administrateur sur le système d'exploitation sous-jacent d'un dispositif affecté qui fonctionne en mode multi-instance.

CVE-2021-1445, CVE-2021-1504 [Score CVSS v3 : 8.6] 
De multiples vulnérabilités dans les logiciels Cisco Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD)  a été corrigée. Ces failles sont dues à l'absence de validation correcte des entrées de la requête HTTPS. Leur exploitation pourraient permettre à un attaquant distant et non authentifié de provoquer un déni de service en envoyant une requête HTTPS modifiée à un dispositif affecté.

CVE-2021-1501 [Score CVSS v3 : 8.6] 
Une vulnérabilité dans le moteur d'inspection SIP des logiciels Cisco Adaptive Security Appliance (ASA) et Cisco Firepower Threat Defense (FTD)  a été corrigée. Cette faille est due à un crash qui se produit lors d'une recherche de hash pour une connexion SIP pinhole. Son exploitation pourrait permettre à un attaquant distant et non authentifié de provoquer un déni de service en envoyant du trafic SIP modifié à travers un dispositif affecté.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service
  • Exposition d’informations sensibles
  • Exécution de code arbitraire

Criticité

  • Scores CVSS v3 : 8.6 max

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

Les versions suivantes de Cisco ASA sont impactées par ces vulnérabilités :

  • antérieures à 9.8.4.35
  • antérieures à 9.9.2.85
  • 9.10.x
  • antérieures à 9.12.4.18
  • antérieures à 9.13.1.21
  • antérieures à 9.14.2.13
  • antérieures à 9.15.1.15

Les versions suivantes de Cisco FTD sont impactées par ces vulnérabilités :

  • antérieures à 6.4.0.12
  • antérieures à 6.6.4
  • antérieures à 6.7.0.2

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Cisco ASA vers une des versions suivantes : 

  • 9.8.4.35
  • 9.9.2.85
  • 9.12.4.18
  • 9.13.1.21
  • 9.14.2.13
  • 9.15.1.15

Mettre à jour Cisco FTD vers une des versions suivantes :

  • 6.4.0.12
  • 6.6.4
  • 6.7.0.2

Solution de contournement

Afin de diminuer les risques lié à l’exploitation de la CVE-2021-1501, il est possible d'effectuer les actions suivantes :

  • Désactiver l'inspection SIP, cette mesure d'atténuation peut ne pas convenir à tous les utilisateurs. En particulier, la désactivation de l'inspection SIP interrompra les connexions SIP si la traduction d'adresses de réseau (NAT) est appliquée au trafic SIP ou si les ports nécessaires à la communication SIP ne sont pas ouverts par la liste de contrôle d'accès (ACL).

          Pour désactiver l'inspection SIP dans le logiciel Cisco ASA, entrer la commande suivante :

              policy-map <policy name>

              class inspection_default

                  no inspect sip

          Pour désactiver l'inspection SIP dans le logiciel Cisco FTD, utilisez la commande suivante              dans l'interface CLI :

              configure inspection sip disable

OU 

Liens