Parmi toutes les interventions auxquelles nous avons assisté au mois d’août lors de la conférence Black Hat 2022, peu d’entre elles étaient vraiment pratiques pour les administrateurs systèmes et les agents de sécurité. En revanche, le rapport présenté par Rapid7, autrement dit Jacob Baines, fut une très belle exception. Il a expliqué en détail comment il a analysé le logiciel pour entreprise Cisco et découvert plusieurs vulnérabilités. Vous pouvez consulter les conclusions de Jacob sous la forme de diapositives, de rapport détaillé ou d’un ensemble d’outils sur GitHub.
Jacob a trouvé 10 problèmes qui affectent Cisco Adaptive Security Software, Adaptive Security Device Manager, et Firepower Services Software for ASA. Ces solutions informatiques contrôlent plusieurs systèmes Cisco pour entreprise, dont le pare-feu matériel, les solutions de sécurité de bout en bout pour entreprise, etc. Cisco a reconnu sept de ces problèmes comme des vulnérabilités, alors que les trois autres, selon le fournisseur, n’affectent pas la sécurité. Au moment de leur divulgation, deux des sept vulnérabilités n’avaient pas été corrigées même si Rapid7 avait averti Cisco en février / mars 2022. Une autre a soi-disant été corrigée plus tard.
Quelles sont ces vulnérabilités ?
Analysons deux des vulnérabilités les plus importantes. La vulnérabilité CVE-2022-20829 est liée à la méthode de livraison des mises à jour du logiciel Cisco ASA. Le bug est assez futile : les packs binaires des mises à jour ne sont validés à aucun moment lors de l’installation. Il n’y a aucun contrôle de la signature numérique , ni rien de similaire. Rapid7 a montré comment modifier les packs binaires Cisco ASDM afin d’exécuter un code arbitraire lorsqu’il est traité.
CVE-2022-1585 est la seconde vulnérabilité et elle a été découverte fin 2020 par le chercheur Malcolm Lashley. Ce dernier a constaté que lorsque les mises à jour sont délivrées, le certificat nécessaire pour établir une connexion sécurisée via le sous-protocole TLS Handshake n’était pas bien traité. Cette faille permettait aux cybercriminels de lancer une attaque de l’homme du milieu contre les clients Cisco, ce qui remplaçait les ressources par une source légitime mise à jour. Les hackers pouvaient ainsi installer et exécuter un code malveillant au lieu du correctif. Cette vulnérabilité a un passé intéressant : Malcolm Lashley l’a signalée à Cisco en décembre 2020. En juillet 2021, Cisco a partagé les détails de cette vulnérabilité sans l’avoir corrigée. En juillet 2022, la vulnérabilité apparaissait comme corrigée sur le portail interne des clients de l’entreprise. Rapid7 a montré que ce n’est pas le cas : s’il y a eu un correctif, il n’a pas fonctionné.
Les autres vulnérabilités sont tout aussi importantes. Par exemple, CVE-2022-20828 peut être utilisée pour attaquer un administrateur système via un accès à distance. La démonstration a expliqué comment un cybercriminel peut accéder au système et en prendre le contrôle en saisissant un ordre simple. De plus, Rapid7 a découvert que les modules de démarrage Firepower ne sont pas analysés. Cela signifie que même si des vulnérabilités du programme ont été corrigées, les hackers peuvent récupérer l’image de démarrage antérieure, autrement dit la version non corrigée de l’image. Même si ce retour en arrière pourrait être utilisé pour lancer des attaques, Cisco ne considère pas cette vulnérabilité comme un problème de sécurité.
Des difficultés pour installer les mises à jour
Ces vulnérabilités montrent que même les programmes d’entreprise protégés par des solutions professionnelles haut de gamme ont un système de livraison des mises à jour qui laisse à désirer. Il n’y a pas si longtemps, nous avons parlé d’un problème conceptuellement similaire dans un programme grand public, le client Web Zoom pour les dispositifs Apple. Le processus de vérification des mises à jour semblait bien sécurisé : l’accès au serveur se faisait via une connexion sécurisée et le fichier de la mise à jour était numériquement signé. Pourtant, la procédure de vérification de la signature permettait l’exécution de n’importe quel fichier, qu’il s’agisse du fichier exécutable légitime ou non, et avec les privilèges les plus importants. Nous avons un autre exemple de mises à jour malveillantes utilisées pour lancer de vraies attaques : en 2018, les chercheurs de Kaspersky ont détecté cette méthode dans la campagne APT Slingshot qui cherchait à compromettre les routeurs Miktrotik.
Dans le cas de Cisco, il n’est pas nécessaire de contourner la vérification de la signature numérique du pack binaire ASDM des mises à jour puisqu’elle n’existe pas. Un mécanisme aurait soi-disant vu le jour en août mais il doit encore faire ses preuves. À vrai dire, toutes les attaques proposées par les chercheurs lors de la conférence Black Hat sont assez difficiles à exécuter. Cependant, étant donné qu’il pourrait s’agir d’une très grande entreprise qui aurait beaucoup à perdre (notamment si un ransomware chiffre les fichiers ou vole les secrets industriels), ce risque doit être pris au sérieux.
Que faire
À la vue des caractéristiques de ces vulnérabilités, le chercheur Rapid7 conseille principalement de limiter, dans la mesure du possible, le travail en mode administrateur avec un accès total. Cela inclut notamment l’utilisation de hauts privilèges lorsque l’administrateur se connecte à l’infrastructure à distance. De nombreux exemples montrent qu’un piratage est possible même en ayant un isolement hors-ligne maximum, notamment grâce aux mises à jour malveillantes ou à un script qui exploite la vulnérabilité d’un programme. Il convient d’effectuer un suivi minutieux des personnes ayant un accès total à l’infrastructure et de limiter les actions effectuées comme administrateur afin de réduire le risque d’attaque. Pourtant, le risque ne disparaît pas complètement…