XMCO : Correction de multiples failles de sécurité dans les produits Cisco
février 2010 par XMCO PARTNERS
Cisco Security Advisory : Multiple Vulnerabilities in Cisco Security Agent
– Date : 18 Fevrier 2010
– Plateforme : Cisco
– Programmes :
* Cisco Security Agent
* Cisco Firewall Services Module (FWSM)
* Cisco ASA
– Gravité : Moyenne
– Exploitation : Distante
– Dommages :
Manipulation de fichiers
Vol d’informations
Contournement de sécurité
Déni de service
– Description :
Plusieurs vulnérabilités ont été corrigées au sein de Cisco Firewall Services Module (FWSM), Cisco ASA, et de Cisco Security Agent. L’exploitation de celles-ci permettait à un attaquant de provoquer un déni de service ainsi que de contourner certaines fonctionnalités de sécurité, voire d’injecter du code et de voler des informations sensibles..
La première faille de sécurité provenait d’une erreur dans la gestion des segments TCP reçus. L’exploitation de celle-ci permettait de rendre le système incapable de traiter de nouvelles connexions TCP.
Des vulnérabilités liées au WebVPN, à l’utilisation de l’option "nailed", ainsi qu’à l’utilisation de la fonction de supervision des protocoles SIP (Session Initiation Protocol) et SCCP (Skinny Client Control Protocol) permettaient de provoquer un redémarrage du boîtier via l’envoi d’un paquet spécialement conçu.
Une autre vulnérabilité existait dans le traitement des messages IKE (Internet Key Exchange) et permettait de fermer les tunnels IPsec créés.
Une erreur dans l’implémentation du protocole NTLMv1 (NT LAN Manager version 1) permettait d’outrepasser les fonctionnalités de sécurités via l’utilisation d’un identifiant spécialement formaté.
Enfin, les dernières vulnérabilités provenaient d’une erreur de traitement des chaînes de caractères traitées par Cisco Security Agent. Ces failles de sécurité pouvaient être exploitées pour télécharger des fichiers via des attaques de type "Directory Trasversal", voire pour injecter du code SQL dans l’application.
– Vulnérable :
* Cisco PIX 7.x
* Cisco PIX 8.x
* Cisco Firewall Services Module (FWSM) 4.x
* Cisco Adaptive Security Appliance (ASA) 7.x
* Cisco Adaptive Security Appliance (ASA) 8.x
– Référence :
http://www.cisco.com/warp/public/707/cisco-sa-20100217-fwsm.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20100217-asa.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20100217-csa.shtml
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0146
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0147
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0148
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0149
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0150
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0151
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0565
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0566
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0567
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0568
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0569
– Correction :
Nous vous recommandons de mettre à jours vos solutions Cisco ASA en téléchargeant les correctifs à l’adresse suivante :
* http://www.cisco.com/pcgi-bin/tablebuild.pl/ASAPSIRT?psrtdcat20e2
Nous vous recommandons de mettre à jours vos solutions Cisco Firewall Services Module (FWSM) en téléchargeant le correctif 4.0(8) à l’adresse suivante :
* http://www.cisco.com/cisco/web/download/index.html
puis en navigant dans l’arborescence Security > Firewall > Firewall Integrated Switch/Router Services > Cisco Catalyst 6500 Series Firewall Services Module.
Enfin, nous vous recommandons de mettre à jours vos solutions Cisco PIX et Cisco Security Agent (CSA) en téléchargeant les correctifs à l’adresse suivante :
* http://tools.cisco.com/support/downloads/go/Redirect.x?mdfid=278065206
Pour plus d’informations, nous vous recommandons de vous référer aux bulletins de l’éditeur.