Les administrateurs réseaux et les équipes de sécurité sont mobilisés pour appliquer rapidement les correctifs publiés par Cisco. Ces patchs concernent plusieurs produits de sécurité réseau de la firme : Firepower, Identity Services Engine (ISE) et Adaptive Security Appliance (ASA). La CISA (équivalent de l’Anssi aux Etats-Unis) a publié une alerte sur ces dispositifs qui offrent aux attaquants une position privilégiée sur le réseau pour se déplacer latéralement.
Un risque d'injection de commandes pour la faille la plus grave
La faille la plus grave se trouve dans le logiciel Management Center de Firepower. Elle donne à un attaquant authentifié la capacité d'envoyer des commandes de configuration non autorisées aux dispositifs Firepower Threat Defense (FTD). Le cybercriminel peut s'authentifier sur l'interface web et exploiter la vulnérabilité en envoyant une requête HTTP spécialement conçue au terminal cible.
Même si Cisco ne précise pas dans son avis quelles actions peut réaliser le pirate grâce à ces commandes de configuration, la faille est considérée comme critique. La brèche n'existe que dans le logiciel Management Center Software, de sorte que les équipements FTD autonomes gérés par Firepower Device Manager (FDM) ne sont pas concernés. Le logiciel Adaptive Security Appliance (ASA), prédécesseur de Firepower, n'est pas non plus affecté.
D’autre failles sérieuses
Deux autres vulnérabilités liées à l'injection de commandes ont également été corrigées dans Firepower Management Center, mais elles peuvent entraîner l'exécution de commandes sur le système d'exploitation sous-jacent, et non sur les terminaux managés. Pour exploiter ces faiblesses, l'attaquant doit aussi disposer d'informations d'identification valides, mais il n'est pas nécessaire qu'il s'agisse du compte administrateur. Ces deux vulnérabilités ont été qualifiées de « gravité élevée ».
Un quatrième bug d'injection de code a été découvert et corrigé dans Firepower Management Center et Firepower Threat Defense. Le problème se situe dans un mécanisme de communication entre terminaux et permet à un attaquant authentifié d'exécuter des commandes en tant que root. Cependant, pour y parvenir, l'attaquant doit avoir le rôle d'administrateur sur un dispositif FTD pour cibler le dispositif Management Center, ou avoir des privilèges d'administrateur sur Management Center pour exécuter des commandes root sur un dispositif FTD associé. Deux problèmes d'injection de commandes de haute gravité ont également été corrigés dans Identity Services Engine (ISE) et pourraient offrir à un attaquant local authentifié d'exécuter des commandes en tant que root sur le système d'exploitation sous-jacent. L'ISE a par ailleurs reçu des correctifs pour deux failles aboutissant au téléchargement de fichiers arbitraires sur le terminal ou de désactiver le traitement du protocole de découverte Cisco Discovery Protocol (CDP).
D'autres vulnérabilités exposent à un déni de service
D'autres vulnérabilités à haut risque pouvant entraîner des dénis de service ont été corrigées dans les logiciels Adaptive Security Appliance, Firepower Threat Defense, Firepower Management Center et les pare-feu de la série Cisco Firepower 2100. Ces problèmes étaient localisés dans les fonctionnalités suivantes : le traitement des messages ICMPv6, le VPN d'accès à distance, les règles d'inspection du pare-feu, l'API Log, et l'inspection ICMPv6 avec détection Snort 2.