Cisco a publié mercredi des correctifs pour contenir de multiples failles dans son logiciel qui pourraient être exploitées pour divulguer des informations sensibles sur les appareils sensibles. Le problème, attribué à l’identifiant CVE-2022-20866 (score CVSS : 7,4), a été décrit comme une « erreur logique » lors de la gestion des clés RSA sur les appareils exécutant le logiciel Cisco Adaptive Security Appliance (ASA) et Cisco Firepower Threat Defense (FTD) Logiciel. L’exploitation réussie de la faille pourrait permettre à un attaquant de récupérer la clé privée RSA au moyen d’une attaque par canal auxiliaire Lenstra contre l’appareil ciblé. « Si un attaquant obtient la clé privée RSA, il pourrait l’utiliser pour se faire passer pour un appareil exécutant le logiciel Cisco ASA ou le logiciel Cisco FTD ou pour déchiffrer le trafic de l’appareil », a averti Cisco dans un avis publié le 10 août. Cisco a noté que la faille affecte uniquement les versions 9.16.1 et ultérieures du logiciel Cisco ASA et les versions 7.0.0 et ultérieures du logiciel Cisco FTD. Les produits concernés sont listés ci-dessous
- ASA 5506-X with FirePOWER Services
- ASA 5506H-X with FirePOWER Services
- ASA 5506W-X with FirePOWER Services
- ASA 5508-X with FirePOWER Services
- ASA 5516-X with FirePOWER Services
- Firepower 1000 Series Next-Generation Firewall
- Firepower 2100 Series Security Appliances
- Firepower 4100 Series Security Appliances
- Firepower 9300 Series Security Appliances, and
- Secure Firewall 3100
Les versions de logiciel ASA 9.16.3.19, 9.17.1.13 et 9.18.2, et les versions de logiciel FTD 7.0.4, 7.1.0.2-2 et 7.2.0.1 ont été publiées pour résoudre la faille de sécurité. Cisco a crédité Nadia Heninger et George Sullivan de l’Université de Californie à San Diego et Jackson Sippe et Eric Wustrow de l’Université du Colorado à Boulder pour avoir signalé le bogue. Cisco a également corrigé une faille de contrebande de demandes côté client dans le composant Clientless SSL VPN (WebVPN) du logiciel Cisco Adaptive Security Appliance (ASA) qui pourrait permettre à un attaquant distant non authentifié de mener des attaques basées sur le navigateur, telles que des attaques intersites. scénarisation, contre la victime. La société a déclaré que la faiblesse, CVE-2022-20713 (score CVSS : 4,3), avait un impact sur les appareils Cisco exécutant une version du logiciel Cisco ASA antérieure à la version 9.17(1) et avait activé la fonctionnalité VPN SSL sans client. Bien qu’il n’existe aucune solution de contournement pour remédier à la faille, les utilisateurs concernés peuvent désactiver la fonctionnalité VPN SSL sans client, bien que Cisco avertisse que cela « pourrait avoir un impact négatif sur la fonctionnalité ou les performances » du réseau. Le développement intervient alors que la société de cybersécurité Rapid7 a divulgué les détails de 10 bogues trouvés dans ASA, Adaptive Security Device Manager (ASDM) et FirePOWER Services Software pour ASA, dont sept ont depuis été résolus par Cisco. Ceux-ci incluent CVE-2022-20829 (score CVSS : 9,1), CVE-2022-20651 (score CVSS : 5,5), CVE-2021-1585 (score CVSS : 7,5), CVE-2022-20828 (score CVSS : 6,5), et trois autres failles qui n’ont pas reçu d’identifiant CVE.