Cisco Systems a livré des correctifs de sécurité pour ses produits tournants avec son logiciel Adaptive Security Appliance (ASA), son commutateur Catalyst 6500 et ses routeurs 7600. Des vulnérabilités exposent en effet ces produits à des attaques par déni de service, l'exécution de code à distance ou le contournement des procédures d'authentification.

Les mises à jour d'ASA livrées par Cisco corrigent six vulnérabilités affectant différents composants logiciels susceptibles d'exposer le matériel à des attaques par déni de service et trois vulnérabilités de contournement d'authentification dans les services d'accès à distance. « Les pirates pourraient déclencher le rechargement du matériel et provoquer un déni de service s'ils parvenaient à exploiter soit une faille dans la façon dont le service IPsec VPN traite les paquets ICMP, une faille dans le moteur d'inspection SQL*Net, une autre dans le code d'inspection approfondie des paquets HTTP, ou dans l'inspection DNS, ou encore dans le VPN SSL sans client », a indiqué Cisco dans son avis de sécurité de mercredi. Par ailleurs, « les hackers pourraient accéder au réseau interne ou s'octroyer un accès administrateur au système affecté via le Cisco Adaptive Security Device Management (ASDM) en exploitant des failles dans le certificat numérique ou dans les procédures d'authentification d'accès à distance VPN », a ajouté l'équipementier.

Mises à jour urgentes

Les versions logicielles de Cisco ASA (Adaptive Security Appliances) concernées sont utilisées sur les matériels ASA 5500 et  5500-X Next Generation Firewall, ASA 1000V Cloud Firewall, ASA Services Module pour les switchs Catalyst 6500 et les routeurs 7600. Toutes les versions ne sont pas concernées par toutes les vulnérabilités. Afin de déterminer quelles failles affectent la version spécifique utilisée sur leur équipement et quelle version ils doivent mettre à jour, les clients sont invités à consulter le tableau figurant dans l'avis.

Les commutateurs Cisco Catalyst 6500, destinés aux réseaux backbone des campus et des gros départements d'entreprise, et les routeurs de classe opérateur Edge 7600, sont également touchés par deux vulnérabilités identifiées dans le Firewall Services Module (FWSM). L'une d'elles permet aux attaquants d'exécuter des commandes lorsque le logiciel FWSM est configuré en mode contextuel multiple. « En cas d'exploitation réussie de cette vulnérabilité, la confidentialité, l'intégrité et la disponibilité du système affecté sont totalement compromises », a déclaré Cisco dans un avis distinct également publié mercredi.

Des failles récentes et pas encore exploitées

L'autre vulnérabilité FWSM est identique à la faille affectant le moteur d'inspection SQL*Net Inspection Engine identifiée dans ASA et peut entraîner le rechargement d'un périphérique et conduire à un déni de service. Les matériels ne sont affectés que dans le cas où l'inspection SQL*Net est activée. Il existe des solutions de contournement pour trois des vulnérabilités de déni de service ASA et FWSM. Elles sont décrites dans les avis respectifs. Afin de résoudre les autres problèmes, les clients doivent effectuer la mise à jour avec les nouvelles versions logicielles correspondant à leurs déploiements.

Cisco précise que toutes les vulnérabilités corrigées mercredi dernier ont été découvertes lors d'une intervention de support technique auprès d'un client. Selon l'équipe Product Security Response Team, « jusque-là, aucune de ces failles n'a été révélée publiquement ni exploitée à des fins malveillantes ».