Cisco a publié mercredi des correctifs pour contenir de multiples failles dans son logiciel qui pourraient être exploitées pour divulguer des informations sensibles sur les appareils sensibles.
Le problème, auquel est attribué l’identifiant CVE-2022-20866 (score CVSS : 7,4), a été décrite comme une « erreur logique » lors de la gestion des clés RSA sur les périphériques exécutant le logiciel Cisco Adaptive Security Appliance (ASA) et le logiciel Cisco Firepower Threat Defense (FTD).
L’exploitation réussie de la faille pourrait permettre à un attaquant de récupérer la clé privée RSA au moyen d’un Attaque par canal latéral de Lenstra contre l’appareil ciblé.
« Si un attaquant obtient la clé privée RSA, il pourrait l’utiliser pour se faire passer pour un appareil qui exécute le logiciel Cisco ASA ou le logiciel Cisco FTD ou pour déchiffrer le trafic de l’appareil », a averti Cisco dans un avis publié le 10 août.
Cisco a noté que la faille affecte uniquement les versions 9.16.1 et ultérieures du logiciel Cisco ASA et les versions 7.0.0 et ultérieures du logiciel Cisco FTD. Les produits concernés sont listés ci-dessous –
- ASA 5506-X avec services FirePOWER
- ASA 5506H-X avec services FirePOWER
- ASA 5506W-X avec services FirePOWER
- ASA 5508-X avec services FirePOWER
- ASA 5516-X avec services FirePOWER
- Pare-feu nouvelle génération Firepower série 1000
- Appliances de sécurité Firepower série 2100
- Appliances de sécurité Firepower série 4100
- Appliances de sécurité Firepower série 9300, et
- Pare-feu sécurisé 3100
Les versions de logiciel ASA 9.16.3.19, 9.17.1.13 et 9.18.2, et les versions de logiciel FTD 7.0.4, 7.1.0.2-2 et 7.2.0.1 ont été publiées pour résoudre la faille de sécurité.
Cisco a crédité Nadia Heninger et George Sullivan de l’Université de Californie à San Diego et Jackson Sippe et Eric Wustrow de l’Université du Colorado à Boulder pour avoir signalé le bogue.
Cisco a également corrigé une faille de contrebande de requêtes côté client dans le VPN SSL sans client (WebVPN) du logiciel Cisco Adaptive Security Appliance (ASA) qui pourrait permettre à un attaquant distant non authentifié de mener des attaques basées sur un navigateur, telles que des scripts intersites, contre la victime.
La société a déclaré la faiblesse, CVE-2022-20713 (score CVSS : 4,3), affectaient les périphériques Cisco exécutant une version du logiciel Cisco ASA antérieure à la version 9.17(1) et avaient la fonctionnalité VPN SSL sans client activée.
Bien qu’il n’existe aucune solution de contournement pour remédier à la faille, les utilisateurs concernés peuvent désactiver la fonctionnalité VPN SSL sans client, bien que Cisco avertisse que cela « peut avoir un impact négatif sur la fonctionnalité ou les performances » du réseau.
Le développement intervient alors que la société de cybersécurité Rapid7 divulgué détails de 10 bogues trouvés dans ASA, Adaptive Security Device Manager (ASDM) et le logiciel de services FirePOWER pour ASA, dont sept ont depuis été résolus par Cisco.
Ceux-ci inclus CVE-2022-20829 (cote CVSS : 9,1), CVE-2022-20651 (cote CVSS : 5,5), CVE-2021-1585 (cote CVSS : 7,5), CVE-2022-20828 (score CVSS : 6,5) et trois autres failles qui n’ont pas reçu d’identifiant CVE.