De multiples vulnérabilités sur plusieurs produits Cisco

De multiples vulnérabilités provoquant des dénis de service ont été identifiées dans plusieurs produits Cisco.

Les vulnérabilités impliquées sont les suivantes :

  • Lorsque la fonctionnalité d’authentification directe est activée sur la gamme de produits « Cisco Adaptive Security Appliance Software », il est possible de provoquer un redémarrage du matériel via l’envoi d’une requête http spécifique, provoquant ainsi un déni de service. (CVE-2017-12246)
  • Une faille dans le parseur de paquets IPv6 de Cisco Firepower peut permettre à un attaquant distant non authentifié de provoquer un redémarrage du processus gérant Snort, causant ainsi une surconsommation des ressources du processeur voire un déni de service. (CVE-2017-12244)
  • Une fuite de mémoire dans le processus de déchiffrement des flux SSL est présente sur Cisco Firepower Thread Defense. Cette faille peut permettre à un attaquant de provoquer un déni de service par l’envoi massif de flux de données chiffrés sur le matériel. (CVE-2017-12245)
  • Une vulnérabilité dans le gestionnaire réseau de Cisco AnyConnect Secure Mobility Client permet à un attaquant non authentifié d’activer plusieurs interfaces réseau. Il serait ainsi en mesure d’envoyer du trafic au travers de ces interfaces de manière non autorisée. (CVE-2017-12268)
Informations
+

Impact

  • Déni de service à distance
  • Contournement de la politique de sécurité

Criticité

CVSS : 8.6

Existence d’un code d’exploitation de la vulnérabilité

Non, aucun code permettant l’exploitation de ces vulnérabilités n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • CVE-2017-12244 :
    • 3000 Series Industrial Security Appliances (ISR)
    • Adaptive Security Appliance (ASA) 5500-X Series with FirePOWER Services
    • Adaptive Security Appliance (ASA) 5500-X Series Next-Generation Firewalls
    • Advanced Malware Protection (AMP) for Networks, 7000 Series Appliances
    • Advanced Malware Protection (AMP) for Networks, 8000 Series Appliances
    • FirePOWER 7000 Series Appliances
    • FirePOWER 8000 Series Appliances
    • Firepower Threat Defense for Integrated Services Routers (ISRs)
    • Firepower 2100 Series Security Appliances
    • Firepower 4100 Series Security Appliances
    • Firepower 9300 Series Security Appliances
    • Virtual Next-Generation Intrusion Prevention System (NGIPSv) for VMware
  • CVE-2017-12245 :
    • Adaptive Security Appliance (ASA) 5500-X Series Next-Generation Firewalls
    • Firepower 2100 Series Security Appliances
    • Firepower 4100 Series Security Appliances
    • Firepower 9300 Series Security Appliances
  • CVE-2017-12246 :
    • ASA 5500 Series Adaptive Security Appliances
    • ASA 5500-X Series Next-Generation Firewalls
    • ASA Services Module for Cisco Catalyst 6500 Series Switches
    • Cisco 7600 Series Routers
    • ASA 1000V Cloud Firewall
    • Adaptive Security Virtual Appliance (ASAv)
    • Firepower 4110 Security Appliance
    • Firepower 9300 ASA Security Module
    • ISA 3000 Industrial Security Appliance
  • CVE-2017-12268 :
    • Cisco AnyConnect Mobility Client for Windows

CVE

  • CVE-2017-12244
  • CVE-2017-12245
  • CVE-2017-12246
  • CVE-2017-12268

Recommandations
+

Correctifs

Des correctifs de sécurité ont été publiés par Cisco pour les différentes versions affectées.

Il est recommandé d’appliquer ces correctifs dès que possible.

Solution de contournement

Il est recommandé de se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs et de les appliquer sur les équipements.

Il est toutefois possible de désactiver la gestion du trafic IPv6 pour mitiger la vulnérabilité CVE-2017-12244.