Update : Cisco a corrigé une vulnérabilité très critique affectant ses périphériques de sécurité

Ce bulletin est une mise à jour du bulletin publié le 5 février. 

Le 29 janvier 2018, Cisco a publié un avis de sécurité traitant la vulnérabilité critique CVE-2018-0101. Cette vulnérabilité affecte les plates-formes Cisco ASA et les pare-feux de nouvelle génération de Cisco (cf. section Composants & versions vulnérables pour plus de détails). L'exploitation de cette dernière permettrait de provoquer un déni de service et d’exécuter du code à distance. La faille existe dans la fonctionnalité VPN SSL (Secure Sockets Layer) du logiciel ASA. Son exploitation consiste à envoyer des paquets XML spécialement conçus à une interface configurée par webvpn.

Les correctifs initialement publiés dans l'avis de sécurité de Cisco ont été jugés insuffisants et encore vulnérables au déni de service. Ils ont depuis été mis à jour.

Informations
+

Impact

  • Exécution de code à distance ;
  • Déni de service.

Criticité

  • CVSS v3 : 10

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

Cette vulnérabilité affecte le logiciel Cisco ASA qui s'exécute sur les produits Cisco suivants:

  • 3000 Series Industrial Security Appliance (ISA) ;
  • ASA 5500 Series Adaptive Security Appliances ;
  • ASA 5500-X Series Next-Generation Firewalls ;
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers ;
  • ASA 1000V Cloud Firewall ;
  • Adaptive Security Virtual Appliance (ASAv) ;
  • Firepower 2100 Series Security Appliance ;
  • Firepower 4110 Security Appliance ;
  • Firepower 4140 Security Appliance ;
  • Firepower 4150 Security Appliance ;
  • Firepower 9300 ASA Security Module ;
  • Firepower Threat Defense Software (FTD).

CVE

  • CVE-2018-0101

Recommandations
+

Correctifs

  • Cisco a publié de nouveau des mises à jour logicielles qui corrigent la vulnérabilité.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.