Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 932
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 932
    Points : 100 200
    Points
    100 200

    Par défaut Des attaquants exploitent une vulnérabilité logicielle sur des Appliances Cisco

    Des attaquants exploitent une vulnérabilité logicielle sur des Appliances Cisco,
    aucune mise à jour ne résout ce problème à l'heure actuelle

    Des attaquants encore non identifiés ont exploité une vulnérabilité logiciel exécutés sur des hardware de sécurité de Cisco. Le bogue pourrait déclencher un redémarrage des périphériques concernés, ce qui équivaut à une condition de déni de service (DoS).

    Cisco a découvert le problème en abordant un problème d'assistance et est conscient de l'exploitation active en cours.

    Attaque à distance, aucune authentification requise

    La vulnérabilité, identifiée par CVE-2018-15454, est présente dans le moteur d'inspection SIP (Session Initiation Protocol) activé par défaut dans les logiciels ASA (Adaptive Security Appliance) et FTD (Firepower Threat Defense).

    Si le plantage et le redémarrage de l'appliance ne se produisent pas, le fait de tirer parti de cette vulnérabilité a pour effet une utilisation intensive du processeur, ce qui ralentit le périphérique et le retarde dans le traitement des tâches à accomplir.

    Dans son avis de sécurité, Cisco explique que le bogue peut être exploité à distance et ne nécessite aucune authentification :

    « Une vulnérabilité du moteur d’inspection SIP (Session Initiation Protocol) du logiciel ASA (Cisco Adaptive Security Appliance) et du logiciel FTD (Cisco Firepower Threat Defense) pourrait permettre à un attaquant distant non authentifié de recharger ou de déclencher un processeur dans un état de déni de service (DoS).

    « Cette vulnérabilité est due à une gestion incorrecte du trafic SIP. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des demandes SIP conçues pour déclencher spécifiquement ce problème à une vitesse élevée sur un périphérique affecté ».

    Nom : cisco.png
Affichages : 5274
Taille : 368,5 Ko
    3000 Series Industrial Security Appliance (ISA)

    Multiples possibilités d'atténuation

    Cisco a précisé que « Les mises à jour logicielles qui corrigent cette vulnérabilité ne sont pas encore disponibles. Aucune solution de contournement ne résout cette vulnérabilité. Les options d'atténuation qui traitent de cette vulnérabilité sont disponibles ».

    En clair, à l'heure actuelle, aucune mise à jour logicielle ne résout le problème, mais plusieurs options d'atténuation existent.

    Une solution consiste à désactiver l’inspection SIP, mais cela n’est pas faisable dans la plupart des cas car cela risquerait de rompre les connexions SIP.

    Une autre option consiste à bloquer le trafic des adresses IP incriminées à l'aide d'une liste de contrôle d'accès (ACL). ou d'utiliser la commande 'shun' en mode EXEC pour arrêter les paquets provenant de l'adresse IP de l'attaquant - il ne s'agit pas d'une méthode persistante, comme c'est le cas pour la modification de la liste de contrôle d'accès

    Cisco a remarqué que l'en-tête « Envoyé par l'adresse » du trafic en cause était défini sur 0.0.0.0, une valeur non valide. Les administrateurs peuvent utiliser ce modèle pour identifier les paquets défectueux et empêcher le plantage de l'appliance de sécurité.

    Le dernier élément sur la liste des options d'atténuation consiste à mettre en œuvre une limite de débit sur le trafic SIP via le cadre de politique modulaire (MPF).

    En attendant la mise à jour logicielle corrigeant CVE-2018-15454, les clients sont invités à adopter l'une des solutions d'atténuation décrites ci-dessus.

    Produits concernés

    Produits vulnérables

    Cette vulnérabilité concerne les versions Cisco 9.4 et ultérieures du logiciel Cisco ASA ainsi que les versions 6.0 et ultérieures du logiciel Cisco FTD sur les appareils physiques et virtuels si l'inspection SIP est activée et que le logiciel s'exécute sur l'un des produits Cisco suivants:
    • 3000 Series Industrial Security Appliance (ISA)
    • ASA 5500-X Series Next-Generation Firewalls
    • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
    • Adaptive Security Virtual Appliance (ASAv)
    • Firepower 2100 Series Security Appliance
    • Firepower 4100 Series Security Appliance
    • Firepower 9300 ASA Security Module
    • FTD Virtual (FTDv)

    L'inspection SIP est activée par défaut dans les logiciels Cisco ASA et Cisco FTD.

    Nom : Cisco asa.png
Affichages : 4829
Taille : 231,9 Ko

    Déterminer la version du logiciel Cisco ASA

    Pour déterminer quelle version du logiciel Cisco ASA est en cours d'exécution sur un périphérique, les administrateurs peuvent se connecter au périphérique, utiliser la commande show version dans l'interface de ligne de commande et faire référence à la sortie de la commande. L'exemple suivant montre la sortie de la commande pour un périphérique qui exécute la version 9.4 du logiciel Cisco ASA Software:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    ciscoasa# show version | include Version
    
    Cisco Adaptive Security Appliance Software Version 9.4(4)
    Device Manager Version 7.4(1)
    Si un périphérique est géré à l'aide de ASDM (Cisco Adaptive Security), les administrateurs peuvent également déterminer quelle version est exécutée sur un périphérique en consultant les informations de version dans le tableau qui apparaît dans la fenêtre de journal Cisco ASDM ou dans l'onglet Tableau de bord des périphériques. du volet d'accueil de Cisco ASDM.

    Déterminer la version du logiciel Cisco FTD

    Pour déterminer quelle version du logiciel Cisco FTD est en cours d'exécution sur un périphérique, les administrateurs peuvent se connecter au périphérique, utiliser la commande show version dans l'interface de ligne de commande et faire référence à la sortie de la commande. L'exemple suivant montre la sortie de la commande pour un périphérique qui exécute la version 6.2.0 du logiciel Cisco FTD:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    > show version
    
    ---------------------[ ftd ]---------------------
    Model : Cisco ASA5525-X Threat Defense (75) Version 6.2.0 (Build 362)
    UUID : 2849ba3c-ecb8-11e6-98ca-b9fc2975893c
    Rules update version : 2017-03-15-001-vrt
    VDB version : 279
    Indicateurs de compromission

    Cisco explique que :

    « Tandis que la vulnérabilité décrite dans cet avis est activement exploitée, la sortie après la commande show conn port 5060 indique un grand nombre de connexions SIP incomplètes et la sortie après la commande show processes cpu-usage non-zero sorted montre une utilisation élevée duCPU.

    « Une exploitation réussie de cette vulnérabilité peut également entraîner le plantage et le redémarrage du périphérique affecté. Une fois le périphérique redémarré, la sortie après la commande show crashinfo indiquera un abandon inconnu du thread DATAPATH. Le client doit contacter Cisco TAC avec ces informations pour déterminer si l'incident en question était lié à l'exploitation de cette vulnérabilité ».

    Source : Cisco

    Voir aussi :

    Une vulnérabilité 0-day dans un plugin jQuery permettrait de télécharger et d'exécuter du code malveillant sur des serveurs PHP et ce, depuis 2010
    Les vulnérabilités de la chaîne logistique des logiciels libres ont doublé en 1 an, cependant, leur utilisation a augmenté de 120 % selon un rapport
    Une vulnérabilité 0Day dans Windows a été rendue publique, parce que Microsoft n'a pas pu respecter le délai canonique de 120 jours
    Patch Tuesday : Microsoft corrige la faille zero-day affectant ALPC dans l'édition de septembre, au total 17 vulnérabilités critiques sont colmatées
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre à l'essai
    Profil pro
    Inscrit en
    novembre 2014
    Messages
    11
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2014
    Messages : 11
    Points : 13
    Points
    13

    Par défaut Et si on traduisait les mots anglais?

    Faut arrêter avec ces anglicismes créés par des commerciaux qui trouvent que ça fait plus cool pour vendre leurs produits d'utiliser le mot anglais (tronqué en plus). Quelle vedette, le mec qui c'est mis à utiliser le mot appliance pour faire chic, alors que chez Cisco comme chez tous les anglophones appliance ça veut juste dire appareil.. Ah c'est plus prosaïque...
    Mais du coup on crée des mots à la pelles qui sont dénués de sens, compris par un petit groupe qui trouve que c'est cool d'être dans un petit groupe. Et nous les mecs de l'informatique on passe encore pour des illettrés...

  3. #3
    FMJ
    FMJ est déconnecté
    Membre actif
    Profil pro
    Inscrit en
    octobre 2003
    Messages
    318
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2003
    Messages : 318
    Points : 206
    Points
    206

    Par défaut

    Appliance : Une application matérielle ou un serveur monofonctionnel (au Québec) par opposition à une application logicielle est un appareil informatique généralement discret, spécifiquement conçu pour exécuter un micrologiciel destiné à fournir une ressource informatique distincte.
    Donc non, la traduction d'appareil est très réducteur par rapport au sens que revêt le terme "appliance" !

  4. #4
    Membre à l'essai
    Profil pro
    Inscrit en
    novembre 2014
    Messages
    11
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2014
    Messages : 11
    Points : 13
    Points
    13

    Par défaut

    Je ne propose pas appareil comme traduction, je dis juste que dire appliance au lieu d'application matérielle revient à dire appareil à la place d'application matérielle. Appliance est un barbarisme. Ce n'est pas parce qu'il est employé ou qu'il est sur wikipédia qu'il existe. Il faut dire application matérielle.

Discussions similaires

  1. Réponses: 3
    Dernier message: 01/10/2017, 22h21
  2. Réaliser une Multiplication/Addition sur des données d'une DB (MVC)
    Par Samuel1981 dans le forum Développement Web en Java
    Réponses: 0
    Dernier message: 16/08/2017, 16h10
  3. Réponses: 12
    Dernier message: 27/12/2016, 12h11
  4. Réponses: 5
    Dernier message: 31/05/2015, 21h57
  5. Réponses: 2
    Dernier message: 10/10/2013, 16h35

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo