Cisco a publié des mises à jour pour corriger une douzaine de failles de haute gravité dans son logiciel Adaptive Security Appliance (ASA) et son logiciel Firepower Threat Defense (FTD).
Si elles ne sont pas corrigées, ces vulnérabilités pourraient permettre à un attaquant de provoquer une fuite de mémoire, de divulguer des informations, d'afficher et de supprimer des informations sensibles, de contourner l'authentification ou de créer une condition de déni de service (DoS) sur un appareil affecté.
La plus grave de ces failles est une vulnérabilité de traversée de chemin dans les logiciels Cisco ASA et FTD suivis comme CVE-2020-3187. Cette vulnérabilité dans WebVPN, qui peut être exploitée même par un pirate peu qualifié, pourrait permettre à un attaquant externe non autorisé d'effectuer des attaques DoS sur les périphériques Cisco ASA en supprimant simplement les fichiers du système et cela pourrait éventuellement conduire à Les connexions VPN dans Cisco ASA sont désactivées.
Dans un article de blog, testeur de pénétration d'applications Web chez Positive Technologies, Mikhail Klyuchnikov a expliqué comment le blocage VPN pouvait perturber les processus commerciaux d'une organisation, en disant:
"Le blocage VPN peut perturber de nombreux processus métier. Par exemple, cela peut affecter la connexion entre les succursales d'un réseau distribué, perturber les e-mails, l'ERP et d'autres systèmes critiques. Un autre problème est que les ressources internes peuvent devenir indisponibles pour les travailleurs distants. Ceci est particulièrement dangereux maintenant que de nombreux employés travaillent à distance en raison de l'épidémie de coronavirus. "
Sommaire
Failles logicielles Cisco ASA et FTD
Cisco a également corrigé sept autres failles de gravité élevée dans ses logiciels ASA et FTD, dont une concernant la fonction d'authentification Kerberos d'ASA.
Kerberos est un protocole d'authentification commun pour l'authentification sur site qui est utilisé dans de nombreuses interfaces ASA. Si elle était exploitée, la faille identifiée comme CVE-2020-3125 pourrait permettre à un attaquant distant non authentifié d'usurper l'identité du centre de distribution de clés Kerberos (KDC) en raison d'une vérification d'identité insuffisante du KDC.
Cisco a également publié des correctifs pour quatre défauts dans son logiciel FTD, y compris un défaut suivi comme CVE-2020-3189 dans la fonctionnalité de journalisation du système VPN du logiciel. Selon l'avis de la société, cette faille est due au fait que «la mémoire système n'est pas correctement libérée pour un événement de journalisation du système VPN généré lors de la création ou de la suppression d'une session VPN». Un attaquant pourrait exploiter cette faille en créant ou en supprimant à plusieurs reprises une connexion de tunnel VPN qui fuit une petite quantité de mémoire système pour chaque événement de journalisation.
Au total, Cisco a publié 34 correctifs pour corriger 12 failles de gravité élevée et 22 failles de gravité moyenne. Il est fortement recommandé aux utilisateurs de patcher leur logiciel immédiatement pour éviter d'être victime d'attaques potentielles.
Via ThreatPost
