Cisco Systems a commencé à livrer les correctifs de sécurité pour une vulnérabilité critique dans ses pare-feux Adaptive Security Appliance (ASA) visés par un exploit lié à l'agence de surveillance nationale américaine, la NSA. L'exploit, appellé ExtraBacon, est l'un des outils utilisés par un groupe que l'industrie de la sécurité appelle Equation, qui pourrait bien être une équipe de cyberespionnage liée à la NSA.
ExtraBacon a été découvert il y a moins d'une dizaine de jours, aux côtés d'autres outils, par au moins une personne utilisant le pseudonyme de Shadow Brokers. Ce dernier exploite une vulnérabilité de dépassement de mémoire tampon dans l'implémentation SNMP (Simple Network Management Protocol) des logiciels ASA de Cisco. Il permet à des attaquants d'exécuter à distance du code véreux sur des terminaux cibles tout en permettant aussi d'envoyer du trafic indésirable aux interfaces SNMP. Cela nécessite typiquement d'être sur le même réseau interne que les terminaux ciblés.
Firepower Threat Defense, Firewall Services Module et Firewalls Pix aussi touchés
Bien que l'exploit ExtraBacon a été conçu pour fonctionner avec des versions 8.4(4) et antérieures des logiciels ASA, d'autres chercheurs ont démontré qu'il pouvait être modifié pour également fonctionner avec des versions plus récentes. Cisco a confirmé dans une note que toutes les versions SNMP dans les logiciels ASA contenaient la vulnérabilité. Mercredi, la société a mis à jour sa note en annonçant la disponibilité de versions patchées des différentes gammes de produits ASA, à savoir 9.1.7(9), 9.5(3) et 9.6.1(11). Les terminaux utilisant les versions logicielles d'ASA 7.x à 8.x devraient migrer vers la version 9.1.7(9) a indiqué Cisco.
Les correctifs pour les versions de la 9.0 à la 9.4 sont également attendues d'ici vendredi. Seront ainsi proposées les versions 9.0.4(40), 9.2.4(14), 9.3.3(10) et 9.4.3(8). Outre ASA, d'autres logiciels Cisco sont également concernés par cette vulnérabilité : Firepower Threat Defense (FTD), Cisco Firewall Services Module (FWSM) ainsi que les PIX Firewalls. Pour le premier, la version corrigée est la 6.0.1(2) tandis que celles pour les deux autres produits ne seront pas proposées, ces derniers étant en fin de vie selon Cisco.
Les chercheurs en sécurité ont jusqu'à présent établi des liens entre le code dans les logiciels leakés par Shadow Broker et ceux précédemment trouvé dans la nature et attribués au groupe Equation. De plus, 14 fichiers leakés par Shadow Broker contiennent une file de 16 caractères que les équipes de la NSA ont semble-t-il utilisés dans leurs malware et listés dans le manuel de la NSA leaké par Edward Snowden, a indiqué The Intercept. Il s'agit du second exploit Equation dans le leak Shadow Brokers visant un logiciel ASA, le premier ayant été EpicBanana, corrigé en 2011 dans la version 8.4(3). Une nouvelle note a cependant été publiée afin d'en accroître la visibilité. Un troisième exploit, BenignCertain, affecte les anciens firewalls Cisco PIX qui ne sont plus supportés (6.x et antérieures).