ALERTE : Vulnérabilité Cisco IOS, IOS EX IOS-XR (19.09.16)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Vulnérabilité Cisco IOS, IOS EX IOS-XR (19.09.16)

Messagede pierre » 19 09 2016

ALERTE : Vulnérabilité dans Cisco IOS, IOS EX et IOS XR (19 septembre 2016)

Cette vulnérabilité n'est pas corrigée actuellement et il n'y a pas encore de méthode de contournement

1 - Risque(s)
atteinte à la confidentialité des données

2 - Systèmes affectés
Cisco IOS XR versions 4.3.x
Cisco IOS XR versions 5.0.x
Cisco IOS XR versions 5.1.x
Cisco IOS XR versions 5.2.x
Cisco IOS XE toutes versions
Cisco IOS, voir sur le site du constructeur pour vérifier si votre système est vulnérable (cf. section Documentation)

3 - Résumé
Une vulnérabilité a été découverte dans Cisco IOS, IOS EX et IOS XR. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données.

4 - Contournement provisoire
Suite à la fuite de codes d'attaque attribués au groupe Equation le mois dernier, Cisco (voir alerte viewtopic.php?f=173&t=31061 ) a enquêté pour déterminer si d'autres de ses produits sont vulnérables à des attaques similaires.
Il s'avère que plusieurs produits peuvent être exploités par une méthode semblable à BEGNINCERTAIN, qui permet à un attaquant d'accéder à des portions de mémoire, dans l'espoir de découvrir des secrets (clés privées, mots de passe...)
Ici, une vulnérabilité dans le code de traitement des paquets IKEv1 de Cisco IOS, IOS XE et IOS XR permet à un attaquant non authentifié de récupérer des portions de mémoire, et ce à distance.

Cisco indique qu'il n'existe pour l'instant pas de mitigations et que cette vulnérabilité est activement exploitée chez certains de ses clients.

Cisco fourni des règles de détection, cependant celles-ci sont soumises à abonnement.
Appliquez les correctifs de sécurité dès que ceux-ci sont disponibles. Sinon, les tunnels IPsec établis sur des systèmes affectés doivent être considérés comme non sécurisés.

5 - Documentation
Bulletin de sécurité Cisco cisco-sa-20160916-ikev1 du 16 septembre 2016
https://tools.cisco.com/security/center ... 0916-ikev1

Référence CVE CVE-2016-6415
http://cve.mitre.org/cgi-bin/cvename.cg ... -2016-6415



1 - Fuite de codes d'attaque attribués au groupe Equation
Le 13 août 2016, des attaquants se faisant appeler The Shadow Brokers ont publié un communiqué dans lequel ils affirment avoir récupéré des codes d'attaque associés au groupe Equation. Pour prouver leur crédibilité, ils ont mis à disposition deux archives chiffrées pour lesquelles la connaissance d'un mot de passe est nécessaire afin d'accéder au contenu. Seul un des deux mots de passe a été fourni, le second faisant l'objet d'une vente aux enchères.
Contenu de la première archive
Le premier fichier (eqgrp-free-file.tar.xz.gpg), pour lequel le mot de passe de déchiffrement a été communiqué, contient plusieurs codes ciblant principalement des équipements réseau.

Une fois déchiffrée puis décompressée, cette archive est composée d'un dossier nommé Firewall pesant 309,1 Mo et contenant 3639 fichiers, dont les horodatages varient de début 2009 à octobre 2013.

La collection d'outils, de scripts, d'exploits, de fichiers de configuration, d'implants et autres notices d'utilisation servent principalement à attaquer des pare-feux d'entreprise de grands constructeurs. Une liste exhaustive des outils contenus dans l'archive peut être trouvée ici[08], voire de manière plus étendue ici[09].

Les paragraphes suivants détaillent la situation pour les principaux équipementiers réseau concernés.
Cisco
Le 17 août, Cisco a réagi en publiant un billet ainsi que deux avis de sécurité, relayés dans l'alerte viewtopic.php?f=173&t=31061.
Les équipements impactés sont principalement les pare-feux PIX et Adaptive Security Appliance (ASA). Cisco a depuis fourni des correctifs de sécurité pour l'ensemble des vulnérabilités ciblées par les codes présents dans l'archive.

Parmi les codes disponibles, il est possible de mentionner :
EXTRABACON
En exploitant la vulnérabilité CVE-2016-6366, il est possible d'effectuer un débordement de tampon qui permet une exécution de code à distance [02]. Il s'agit d'une faiblesse dans l'implémentation du protocole SNMP, quelle que soit la version de celui-ci. Cette faille est de type 0-jour et a donc été découverte par Cisco le 13 août. Jusqu'à cette date, l'exploitation de cette vulnérabilité n'avait probablement jamais été détectée. Cependant, certaines conditions spécifiques doivent être remplies pour que l'attaque réussisse : le service SNMP devait être activé sur l'interface ciblée et l'attaquant devait avoir le droit d'envoyer des paquets sur celle-ci. De plus, le nom de communauté (qui fait office de mot de passe) devait être connu. A noter qu'une société de sécurité hongroise a réussi à modifier l'attaque pour la faire fonctionner avec les versions les plus récentes d'ASA [03].
EPICBANANA
La vulnérabilité CVE-2016-6367 avait été corrigée par Cisco en 2011. Lorsqu'un attaquant peut se connecter à un pare-feu vulnérable en telnet ou SSH, cet exploit lui permet d'élever ses privilèges sans connaître le mot de passe administrateur.
JETPLOW
Contrairement aux deux codes mentionnés précédemment qui ne possèdent pas de fonctionnalité de persistance, le code JETPLOW permet de modifier le microgiciel d'un pare-feu afin de contourner les contrôles d'intégrité pour ainsi assurer la réinstallation du code EPICBANANA à chaque démarrage.
BENIGNCERTAIN
Impactant les pare-feux PIX de version inférieure à 7.0, la vulnérabilité CVE-2016-1287 [04] concerne un possible débordement de tampon dans l'implémentation du protocole d'Internet Key Exchange (IKE). Avec un paquet IKE spécialement conçu, il est possible de faire fuiter des portions de la mémoire du pare-feu, en espérant récupérer ainsi des mots de passe ou des clés privées. Une attaque réussie a des implications énormes : en effet, l'attaquant est alors en mesure de déchiffrer les communications réputées protégées par un tunnel IPsec.
Fortinet
Le 17 août, Fortinet a également publié un avis de sécurité concernant une vulnérabilité dans le micrologiciel de ses pare-feux Fortigate [05]. Cette faille, identifiée depuis par CVE-2016-6909, a été corrigée silencieusement par Fortinet en août 2012. Le code EGREGIOUSBLUNDER exploitait cette vulnérabilité pour permettre à un attaquant de prendre le contrôle de l'équipement grâce à une requête HTTP malveillante exploitant une faille dans l'analyseur syntaxique des témoins de connexions (cookies).
Juniper Networks
Juniper a attendu le 19 août avant de communiquer [06]. S'ils reconnaissent que du code cible ScreenOS spécifiquement, ils affirment qu'aucun exploit à distance n'est inclus mais qu'ils continuent d'investiguer. Ils conseillent également de vérifier l'intégrité des images du micrologiciel contenu dans leur matériel [07].
Topsec
Plusieurs exploits ciblent le fabriquant chinois Topsec, mais celui-ci est resté silencieux.
Impact des codes
S'il est plus habituel de voir des attaques contre les postes utilisateurs, il n'est pas étonnant de constater que les équipements réseau sont également pris pour cibles. En effet, ceux-ci sont situés à des emplacements stratégiques, en périphérie ou au cœur même du réseau d'entreprise. De plus, si un attaquant arrive à compromettre du matériel censé assurer la sécurité périmétrique, il bénéficie alors d'un grande marge de manœuvre pour assurer sa propagation latérale au sein du réseau, d'autant plus si la sécurité n'a pas été pensée en profondeur.

Plusieurs constatations peuvent être formulées :

Du code contenu dans l'archive cible fonctionne sur des équipements obsolètes encore utilisés aujourd'hui. Ils sont et resteront donc vulnérables jusqu'à leur remplacement ;
Cette boîte à outils permet de couvrir à peu près toutes les phases d'une infiltration réseau, de la brèche initiale à l'établissement d'une tête de pont, du pivot latéral ou vertical au déchiffrement des communications protégées par un VPN.

L'impact de ces vulnérabilités peut varier en fonction des pratiques d'administration des équipements concernés ainsi que du durcissement des configurations déployées.
Recommandations
Il est fortement déconseillé d'utiliser des produits en fin de vie (plus maintenus). Vous êtes invité à mettre à jour sans délais tous les produits encore maintenus afin de minimiser les risques d'exploitation d'une vulnérabilité.

De plus, appliquer le principe de défense en profondeur permet de réduire l'impact d'une intrusion lorsque celle-ci a lieu. Cela passe en premier lieu par une segmentation du réseau de l'entreprise. Ensuite, cela nécessite un durcissement de la configuration des divers équipements ainsi qu'une veille sur leur intégrité couplé à une maintenance régulière. Enfin, les efforts de sensibilisation des administrateurs et utilisateurs ne doivent pas être sous-estimés.

Dans le cadre spécifique à cette menace, les entreprises possédant ou ayant possédé du matériel vulnérable doivent commencer par remplacer ou mettre à jour les équipements ciblés lorsque ceci est possible. Ensuite, il faut considérer que les communications échangées ces dernières années ont potentiellement été compromises, ce qui implique non seulement de changer les secrets ayant permis de protéger ces communications mais également ceux (clés privées, mots de passe, etc.) ayant pu transiter sur ces liens (principe de la Safe attitude : corriger la faille mais aussi chercher en amont, la cause, et chercher en aval, les conséquences. Safe Attitude
Avatar de l’utilisateur
pierre
 
Messages: 21932
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: ALERTE - Vulnérabilité Cisco IOS, IOS EX IOS-XR (19.09.1

Messagede pierre » 18 11 2016

La dernière mise à jour du bulletin de CISCO est du 05.10.2016
https://tools.cisco.com/security/center ... 0916-ikev1

Il n'y a toujours pas de correctif ni de solution de contournement
Risque : Élevé

Tous les produits Cisco utilisant les versions suivantes de Cisco IOS XR sont affectés

Cisco IOS XR 4.3.x
Cisco IOS XR 5.0.x
Cisco IOS XR 5.1.x
Cisco IOS XR 5.2.x

Les produits CISCO utilisant les versions Cisco IOS XR 5.3.x et suivantes ne sont pas affectés
Avatar de l’utilisateur
pierre
 
Messages: 21932
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: ALERTE : Vulnérabilité Cisco IOS, IOS EX IOS-XR (19.09.1

Messagede pierre » 27 01 2017

Cette alerte est maintenue.
Il n'y a pas de contournement.
Le correctif du 05.10.2016 est toujours un correctif intermédiaire jusqu'à ce qu'une solution définitive soit apportée.

Les produits affectés restent :

Cisco IOS XR Software

All products running the following releases of Cisco IOS XR Software are affected by this vulnerability:

Cisco IOS XR 4.3.x
Cisco IOS XR 5.0.x
Cisco IOS XR 5.1.x
Cisco IOS XR 5.2.x

Cisco IOS XR Software releases 5.3.x and newer are not affected by this vulnerability
Avatar de l’utilisateur
pierre
 
Messages: 21932
Inscription: 20 05 2002
Localisation: Ici et maintenant




Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 10 invités