Cisco a révélé la présence d’une vulnérabilité dans deux de ses logiciels qui permet aux pirates de provoquer un déni de service (DoS) dans plusieurs de ses produits dont les appliances ISA 3000 et ASAv et les routeurs de la gamme 7600. Aucun correctif n’est pour l’heure proposé mais des solutions de contournement existent.
La gamme de pare-feu ASA 5500-X fait partie des systèmes exposés par la dernière vulnérabilité débusquée par Cisco. (crédit : Cisco)
Cisco a découvert une vulnérabilité dans le moteur d’inspection SIP (Session Initiation Protocol) du logiciel Adaptive Security Appliance (ASA) et du logiciel Cisco Firepower Threat Defense (FTD). Une tierce partie pourrait pousser un périphérique affecté à recharger ou à déclencher un usage « élevé du CPU » et provoquer ainsi un déni de service. « La vulnérabilité est liée à une mauvaise gestion du trafic SIP. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes SIP conçues pour produire spécifiquement cet effet à haut débit sur un périphérique affecté », a déclaré Cisco sur sa page d’alertes et d’avis de sécurité.
La vulnérabilité affecte les logiciels Cisco Adaptive Security Appliance à partir de la version 9.4 et Cisco Firepower Threat Defense à partir de la version 6.0 quand l’inspection SIP est activée et que le logiciel est exécuté sur des produits spécifiques. Il s’agit en particulier des appliances Industrial Security Appliance (ISA) de la série 3000, des pare-feu Next-Generation Firewalls de la série ASA 5500-X, du module de services ASA pour les commutateurs Cisco Catalyst de la série 6500 et les routeurs Cisco de la série 7600 et des appliances Adaptive Security Virtual Appliance (ASAv).
Les correctifs pas encore disponibles
La vulnérabilité a été également identifiée sur les appliances Security Appliance Firepower des séries 2100 et 4100, sur le module Firepower 9300 ASA Security Module et sur FTD Virtual (FTDv). L’inspection SIP est activée par défaut dans les logiciels Cisco ASA et Cisco FTD. Des informations plus détaillées sur les solutions de contournement et le fonctionnement des vulnérabilités sont disponibles sur la page des avis et alertes de sécurité de Cisco. Pour l’instant, l’équipementier réseaux et télécoms ne dispose d’aucune mise à jour pour résoudre le problème. « Les mises à jour logicielles pouvant corriger cette vulnérabilité ne sont pas encore disponibles. Il n’y a pas de solution de contournement pour empêcher l’action de cette vulnérabilité. Mais il existe des options d’atténuation ». Parmi elles Cisco propose de désactiver l’inspection SIP, bloquer les paquets IP, régler le sent-by adress par 0.0.0.0 ou encore implémenter une limite de trafic SIP.