Les chercheurs en menaces de Rapid7 ont révélé 10 problèmes de sécurité distincts dans les produits de pare-feu Cisco qui pourraient exposer des centaines de milliers d’organisations dans le monde entier à des cyberattaques potentiellement graves de la chaîne d’approvisionnement et ont averti que tous n’ont pas été correctement corrigés.
Les vulnérabilités affectent les pare-feu Cisco Adaptive Security Software (ASA) et ASA-X de niveau entreprise, ainsi que l’interface utilisateur graphique Adaptive Security Device Manager (ASDM) pour l’administration à distance des appliances basées sur ASA, et son logiciel FirePower Services, qui prend en charge l’installation du module FirePower sur Cisco ASA 5500-X avec FirePower Services.
Ils ont été découverts par le chercheur principal en sécurité de Rapid7, Jake Baines, qui les a divulgués à Cisco en février et mars 2022, et travaille depuis lors de manière intensive avec le fournisseur de kits de mise en réseau. Ils ont été officiellement présentés aujourd’hui (11 août) à Black Hat USA et seront à nouveau présentés lors de la conférence DEF CON suivante le 13 août. Au moment de la rédaction de cet article, seuls quatre des problèmes ont été corrigés et seuls quatre ont reçu des désignations de vulnérabilité et d’exposition communes (CVE).
“Cisco ne considère pas la liste complète des fonctionnalités exploitables comme des vulnérabilités”, a déclaré Baines dans une déclaration récapitulative accompagnant sa divulgation, “car une grande partie de l’exploitation se produit sur la machine virtuelle dans l’ASA.
«Malgré cela, les attaquants peuvent toujours accéder aux réseaux d’entreprise, s’ils ne sont pas corrigés. Rapid7 exhorte les organisations qui utilisent Cisco ASA à isoler autant que possible l’accès administratif », a-t-il déclaré.
Les trois vulnérabilités sans doute les plus critiques sont les suivantes :
- CVE-2022-20829 dans Cisco ASDM. Cette vulnérabilité existe car le package binaire ASDM n’a pas de signature cryptographique pour prouver qu’il est authentique, de sorte qu’un package ASDM malveillant installé sur un Cisco ASA pourrait entraîner l’exécution de code arbitraire sur tout client qui lui est connecté. Ceci est particulièrement impactant car le package ADSM est distribuable. Cela signifie qu’il pourrait être installé via une attaque de la chaîne d’approvisionnement, un initié malveillant ou simplement laissé disponible gratuitement sur l’Internet public pour que les administrateurs puissent se retrouver. Il n’a pas été patché.
- CVE-2021-1585. Cette vulnérabilité permet à un point de terminaison man-in-the-middle ou malveillant d’exécuter du code Java arbitraire sur le système d’un administrateur ASDM à l’aide du lanceur. Cisco l’a divulgué en juillet 2021, mais ne l’a pas corrigé avant la version de juin 2022 d’ASDM 7.18.1.150. Cependant, Baines a montré que l’exploit fonctionne toujours contre cette version.
- CVE-2022-20828. Il s’agit d’une vulnérabilité authentifiée à distance qui permet à un pirate d’obtenir un accès root sur ASA-X avec FirePower Services lorsque le module FirePower est installé. Étant donné que le module FirePower est entièrement en réseau et est capable d’accéder à la fois à l’extérieur et à l’intérieur de l’ASA, il est très utile à un attaquant de cacher ou d’organiser ses attaques – par conséquent, exposer l’ASDM à l’Internet public pourrait être très dangereux pour les ASA en utilisant ce module, et en outre, bien qu’il nécessite des informations d’identification pour s’exécuter avec succès, le schéma d’authentification par défaut d’ASDM divulgue les informations d’identification aux attaquants actifs de l’homme du milieu. Heureusement, il a été corrigé dans la plupart des versions maintenues.
L’un des autres problèmes ayant moins d’impact, une faille de journalisation des informations d’identification dans le client ASDM, a été attribué à CVE-2022-20651. Pour les raisons décrites par Baines, les autres ne l’ont pas fait. Tous les détails sont disponibles auprès de Rapid7.
Baines a déclaré que les utilisateurs des produits concernés devaient comprendre que les pare-feu, qui sont censés être un élément vital pour éloigner les acteurs de la menace des réseaux, peuvent être facilement contournés.
Il a ajouté que de nombreux utilisateurs ne mettaient clairement pas à jour leurs pare-feu Cisco de manière appropriée, affirmant qu’une analyse du 15 juin pour les portails Web ASDM a révélé que moins de 0,5 % des appareils connectés à Internet avaient mis à niveau vers la version ASDM 7.18.1 la plus récente, avec le plus la version populaire dans la nature est la 7.8.2, qui existe depuis cinq ans maintenant.
