C’est un carton plein pour le fabricant, avec la note maximale sur l’échelle CVSS v3 : 10/10. Il faut dire que la faille baptisée CVE-2018-0101 a de quoi inquiéter : « Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance et un déni de service à distance » explique le CERT-FR.

Le constructeur explique que cette brèche vient de la fonctionnalité VPN SSL (Secure Sockets Layer) du logiciel ASA (Adaptive Security Appliance). Bien évidemment, des mises à jour logicielles sont disponibles pour la corriger. Il n’existe pas d’autre manière de la colmater affirme le fabricant. La longue liste des produits touchés est disponible par ici.

Cisco indique enfin ne pas avoir eu de retour laissant penser à une exploitation malveillante de cette faille. Il remercie enfin Cedric Halbronn du groupe NCC pour l’avoir signalée. « Bien qu’il s’agisse d’une vulnérabilité extrêmement sérieuse, il est important de féliciter Cisco pour la rapidité avec laquelle l’entreprise a pris des mesures lorsque cette question a été portée à son attention » explique de son côté le groupe NCC.

 

Source : www.nextinpact.com/brief/les-pare-feu-cisco-asa-touches-par-une-mechante-faille-de-securite-2427.htm