Cisco Systems a corrigé une vulnérabilité critique qui pourrait permettre à des attaquants distants de prendre la main sur ses pare-feux Adaptive Security Appliance (ASA) configurés en tant que serveurs de réseau privé virtuel grâce à l’envoi de paquets réseau malformés, généralement créés par une carte réseau défectueuse ou pour lancer des attaques DDoS.

Pour des appareils conçus pour protéger les réseaux privés contre des attaques Internet, cela fait vraiment ballot. Voilà pourquoi Cisco a évalué la vulnérabilité avec le score maximum de 1.0 au Common Vulnerability Scoring System.

Contrôle total de l'appliance ASA 

La faille se trouve dans le code ASA qui gère les protocoles Internet Key Exchange version 1 (IKEv1) et IKE version 2 (IKEv2). Plus précisément, elle découle d'une condition de débordement de la mémoire tampon dans la fonction qui traite les charges utiles IKE fragmentées. « Un attaquant pourrait exploiter cette vulnérabilité en envoyant des paquets UDP conçus pour perturber le système, a déclaré Cisco dans un communiqué. « Un exploit pourrait permettre à l'attaquant d'exécuter du code arbitraire et obtenir le plein contrôle du système ou provoquer un rechargement du système affecté. »

IKE est utilisé comme un mécanisme d'échange de clés dans les réseaux privés virtuels basés sur IPsec (VPN). En tant que tel, les dispositifs Cisco ASA ne sont vulnérables que s’ils ont été configurés pour agir comme des points de terminaison VPN IPSec LAN-to-LAN, VPN d'accès à distance en utilisant le client VPN IPsec, des connexions VPN Layer 2 Tunneling Protocol (L2TP)-over-IPsec et IKEv2 AnyConnect.

Les tentatives d'intrusions se multiplient 

Les produits ASA sont souvent configurés pour assurer des fonctions VPN. Leur force est qu'ils peuvent fournir les services de routage IP, de pare-feu, d’antivirus réseau, assurer la prévention d'intrusions et la fonctionnalité VPN dans un seul boitier. Selon Cisco les produits suivants sont vulnérables : ASA 5500 Series Adaptive Security Appliances, ASA 5500-X Series Next-Generation Firewalls, ASA Services Module for Catalyst 6500 Series Switches et 7600 Series Routers, ASA 1000V Cloud Firewall, Adaptive Security Virtual Appliance (ASAv), Firepower 9300 ASA Security Module et ISA 3000 Industrial Security Appliance.

La note de Cisco contient une liste avec les versions corrigées du logiciel ASA pour les différents modèles. Les utilisateurs sont invités à mettre à jour leurs équipements dès que possible. L'Internet Storm Center du SANS Technology Institute a déjà rapporté avoir vu une forte augmentation des sondes sur le port UDP 500 (à la recherche d'équipements vulnérables), ce dernier étant l’entrée la plus probable pour exploiter cette vulnérabilité.