{"id":19568,"date":"2022-10-12T09:29:06","date_gmt":"2022-10-12T07:29:06","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19568"},"modified":"2022-10-12T09:29:06","modified_gmt":"2022-10-12T07:29:06","slug":"defcon30-cisco-updates-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/defcon30-cisco-updates-vulnerabilities\/19568\/","title":{"rendered":"Des mises \u00e0 jour vuln\u00e9rables dans le logiciel pour entreprise Cisco"},"content":{"rendered":"

Parmi toutes les interventions auxquelles nous avons assist\u00e9 au mois d\u2019ao\u00fbt lors de la conf\u00e9rence Black Hat 2022, peu d\u2019entre elles \u00e9taient vraiment pratiques pour les administrateurs syst\u00e8mes et les agents de s\u00e9curit\u00e9. En revanche, le rapport pr\u00e9sent\u00e9 par Rapid7, autrement dit Jacob Baines, fut une tr\u00e8s belle exception. Il a expliqu\u00e9 en d\u00e9tail comment il a analys\u00e9 le logiciel pour entreprise Cisco et d\u00e9couvert plusieurs vuln\u00e9rabilit\u00e9s. Vous pouvez consulter les conclusions de Jacob sous la forme de diapositives<\/a>, de rapport<\/a> d\u00e9taill\u00e9 ou d\u2019un ensemble<\/a> d\u2019outils sur GitHub.<\/p>\n

Jacob a trouv\u00e9 10 probl\u00e8mes qui affectent Cisco Adaptive Security Software, Adaptive Security Device Manager, et Firepower Services Software for ASA. Ces solutions informatiques contr\u00f4lent plusieurs syst\u00e8mes Cisco pour entreprise, dont le pare-feu mat\u00e9riel, les solutions de s\u00e9curit\u00e9 de bout en bout pour entreprise, etc. Cisco a reconnu sept de ces probl\u00e8mes comme des vuln\u00e9rabilit\u00e9s, alors que les trois autres, selon le fournisseur, n\u2019affectent pas la s\u00e9curit\u00e9. Au moment de leur divulgation, deux des sept vuln\u00e9rabilit\u00e9s n\u2019avaient pas \u00e9t\u00e9 corrig\u00e9es m\u00eame si Rapid7 avait averti Cisco en f\u00e9vrier \/ mars 2022. Une autre a soi-disant \u00e9t\u00e9 corrig\u00e9e plus tard.<\/p>\n

Quelles sont ces vuln\u00e9rabilit\u00e9s ?<\/h2>\n

Analysons deux des vuln\u00e9rabilit\u00e9s les plus importantes. La vuln\u00e9rabilit\u00e9 CVE-2022-20829<\/a> est li\u00e9e \u00e0 la m\u00e9thode de livraison des mises \u00e0 jour du logiciel Cisco ASA. Le bug est assez futile\u00a0: les packs binaires des mises \u00e0 jour ne sont valid\u00e9s \u00e0 aucun moment lors de l\u2019installation. Il n\u2019y a aucun contr\u00f4le de la signature num\u00e9rique , ni rien de similaire. Rapid7 a montr\u00e9 comment modifier les packs binaires Cisco ASDM afin d\u2019ex\u00e9cuter un code arbitraire lorsqu\u2019il est trait\u00e9.<\/p>\n

CVE-2022-1585<\/a> est la seconde vuln\u00e9rabilit\u00e9 et elle a \u00e9t\u00e9 d\u00e9couverte<\/a> fin 2020 par le chercheur Malcolm Lashley. Ce dernier a constat\u00e9 que lorsque les mises \u00e0 jour sont d\u00e9livr\u00e9es, le certificat n\u00e9cessaire pour \u00e9tablir une connexion s\u00e9curis\u00e9e via le sous-protocole TLS Handshake n\u2019\u00e9tait pas bien trait\u00e9. Cette faille permettait aux cybercriminels de lancer une attaque de l\u2019homme du milieu contre les clients Cisco, ce qui rempla\u00e7ait les ressources par une source l\u00e9gitime mise \u00e0 jour. Les hackers pouvaient ainsi installer et ex\u00e9cuter un code malveillant au lieu du correctif. Cette vuln\u00e9rabilit\u00e9 a un pass\u00e9 int\u00e9ressant\u00a0: Malcolm Lashley l\u2019a signal\u00e9e \u00e0 Cisco en d\u00e9cembre 2020. En juillet 2021, Cisco a partag\u00e9 les d\u00e9tails de cette vuln\u00e9rabilit\u00e9 sans l\u2019avoir corrig\u00e9e. En juillet 2022, la vuln\u00e9rabilit\u00e9 apparaissait comme corrig\u00e9e sur le portail interne des clients de l\u2019entreprise. Rapid7 a montr\u00e9 que ce n\u2019est pas le cas\u00a0: s\u2019il y a eu un correctif, il n\u2019a pas fonctionn\u00e9.<\/p>\n

Les autres vuln\u00e9rabilit\u00e9s sont tout aussi importantes. Par exemple, CVE-2022-20828<\/a> peut \u00eatre utilis\u00e9e pour attaquer un administrateur syst\u00e8me via un acc\u00e8s \u00e0 distance. La d\u00e9monstration a expliqu\u00e9 comment un cybercriminel peut acc\u00e9der au syst\u00e8me et en prendre le contr\u00f4le en saisissant un ordre simple. De plus, Rapid7 a d\u00e9couvert que les modules de d\u00e9marrage Firepower ne sont pas analys\u00e9s. Cela signifie que m\u00eame si des vuln\u00e9rabilit\u00e9s du programme ont \u00e9t\u00e9 corrig\u00e9es, les hackers peuvent r\u00e9cup\u00e9rer l\u2019image de d\u00e9marrage ant\u00e9rieure, autrement dit la version non corrig\u00e9e de l\u2019image. M\u00eame si ce retour en arri\u00e8re pourrait \u00eatre utilis\u00e9 pour lancer des attaques, Cisco ne consid\u00e8re pas cette vuln\u00e9rabilit\u00e9 comme un probl\u00e8me de s\u00e9curit\u00e9.<\/p>\n

Des difficult\u00e9s pour installer les mises \u00e0 jour<\/h2>\n

Ces vuln\u00e9rabilit\u00e9s montrent que m\u00eame les programmes d\u2019entreprise prot\u00e9g\u00e9s par des solutions professionnelles haut de gamme ont un syst\u00e8me de livraison des mises \u00e0 jour qui laisse \u00e0 d\u00e9sirer. Il n\u2019y a pas si longtemps, nous avons parl\u00e9<\/a> d\u2019un probl\u00e8me conceptuellement similaire dans un programme grand public, le client Web Zoom pour les dispositifs Apple. Le processus de v\u00e9rification des mises \u00e0 jour semblait bien s\u00e9curis\u00e9\u00a0: l\u2019acc\u00e8s au serveur se faisait via une connexion s\u00e9curis\u00e9e et le fichier de la mise \u00e0 jour \u00e9tait num\u00e9riquement sign\u00e9. Pourtant, la proc\u00e9dure de v\u00e9rification de la signature permettait l\u2019ex\u00e9cution de n\u2019importe quel fichier, qu\u2019il s\u2019agisse du fichier ex\u00e9cutable l\u00e9gitime ou non, et avec les privil\u00e8ges les plus importants. Nous avons un autre exemple de mises \u00e0 jour malveillantes utilis\u00e9es pour lancer de vraies attaques\u00a0: en 2018, les chercheurs de Kaspersky ont d\u00e9tect\u00e9<\/a> cette m\u00e9thode dans la campagne APT Slingshot qui cherchait \u00e0 compromettre les routeurs Miktrotik.<\/p>\n

Dans le cas de Cisco, il n\u2019est pas n\u00e9cessaire de contourner la v\u00e9rification de la signature num\u00e9rique du pack binaire ASDM des mises \u00e0 jour puisqu\u2019elle n\u2019existe pas. Un m\u00e9canisme aurait soi-disant vu le jour en ao\u00fbt mais il doit encore faire ses preuves. \u00c0 vrai dire, toutes les attaques propos\u00e9es par les chercheurs lors de la conf\u00e9rence Black Hat sont assez difficiles \u00e0 ex\u00e9cuter. Cependant, \u00e9tant donn\u00e9 qu\u2019il pourrait s\u2019agir d\u2019une tr\u00e8s grande entreprise qui aurait beaucoup \u00e0 perdre (notamment si un ransomware chiffre les fichiers ou vole les secrets industriels), ce risque doit \u00eatre pris au s\u00e9rieux.<\/p>\n

Que faire<\/h2>\n

\u00c0 la vue des caract\u00e9ristiques de ces vuln\u00e9rabilit\u00e9s, le chercheur Rapid7 conseille principalement de limiter, dans la mesure du possible, le travail en mode administrateur avec un acc\u00e8s total. Cela inclut notamment l\u2019utilisation de hauts privil\u00e8ges lorsque l\u2019administrateur se connecte \u00e0 l\u2019infrastructure \u00e0 distance. De nombreux exemples montrent qu\u2019un piratage est possible m\u00eame en ayant un isolement hors-ligne maximum, notamment gr\u00e2ce aux mises \u00e0 jour malveillantes ou \u00e0 un script qui exploite la vuln\u00e9rabilit\u00e9 d\u2019un programme. Il convient d\u2019effectuer un suivi minutieux des personnes ayant un acc\u00e8s total \u00e0 l\u2019infrastructure et de limiter les actions effectu\u00e9es comme administrateur afin de r\u00e9duire le risque d\u2019attaque. Pourtant, le risque ne dispara\u00eet pas compl\u00e8tement\u2026<\/p>\n","protected":false},"excerpt":{"rendered":"

Comment les solutions haut de gamme pour entreprise peuvent avoir des bugs simples dans leurs syst\u00e8mes de livraison des mises \u00e0 jour.<\/p>\n","protected":false},"author":2411,"featured_media":19570,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[1183,790,322],"class_list":{"0":"post-19568","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-def-con","11":"tag-mises-a-jour","12":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/defcon30-cisco-updates-vulnerabilities\/19568\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/defcon30-cisco-updates-vulnerabilities\/24737\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/20208\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/27211\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/defcon30-cisco-updates-vulnerabilities\/25065\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/25377\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/defcon30-cisco-updates-vulnerabilities\/27916\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/defcon30-cisco-updates-vulnerabilities\/11097\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/45718\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/defcon30-cisco-updates-vulnerabilities\/20140\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/defcon30-cisco-updates-vulnerabilities\/29377\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/defcon30-cisco-updates-vulnerabilities\/31112\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/defcon30-cisco-updates-vulnerabilities\/30802\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilites\/","name":"Vuln\u00e9rabilit\u00e9s"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19568","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2411"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=19568"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19568\/revisions"}],"predecessor-version":[{"id":19573,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19568\/revisions\/19573"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/19570"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=19568"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=19568"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=19568"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}