11 février 2016
Cisco a publié le 10 février dernier une « Security Advisory » concernant une vulnérabilité dans l’implémentation du protocole IKE v1 et v2.
Cette vulnérabilité, CVE-2016-1287, est classée « Critical » par Cisco.
La description extraite de l’Advisory Cisco :
A vulnerability in the Internet Key Exchange (IKE) version 1 (v1) and IKE version 2 (v2) code of Cisco ASA Software could allow an unauthenticated, remote attacker to cause a reload of the affected system or to remotely execute code.
L’exécution de code à distance est rendu possible grâce à un « buffer overflow » :
The vulnerability is due to a buffer overflow in the affected code area. An attacker could exploit this vulnerability by sending crafted UDP packets to the affected system. An exploit could allow the attacker to execute arbitrary code and obtain full control of the system or to cause a reload of the affected system.
Cette vulnérabilité affecte toute la gamme ASA, aussi bien la série 5500 que 5500-X, ainsi que les appliances virtuelles ASAv.
Toutes les versions (sauf la 8.51) de l’ASA sont affectées:
| Cisco ASA Major Release | First Fixed Release |
| 7.21 | Affected; |
| 8.21 | Affected; |
| 8.31 | Affected; |
| 8.4 | 8.4(7.30) |
| 8.51 | Not affected |
| 8.61 | Affected; |
| 8.7 | 8.7(1.18) |
| 9.0 | 9.0(4.38) |
| 9.1 | 9.1(7) |
| 9.2 | 9.2(4.5) |
| 9.3 | 9.3(3.7) |
| 9.4 | 9.4(2.4) |
| 9.5 | 9.5(2.2) |
Vous êtes concernés par cette vulnérabilité si vous utilisez l’ASA en terminaison de connexions IKE, comme par exemple :
- VPN IPsec site-à-site
- VPN Client utilisant le client IPsec
- VPN L2TP-over-IPsec
- …
Les firewalls ASA utilisés pour du VPN SSL Anyconnect ne sont pas concernés.
La commande « show running-config crypto map | include interface » permet de vérifier que vous utilisez une crypto-map, élément nécessaire à la configuration d’IKE (v1 ou v2), sur une interface au minimum.
En ce qui concerne la remédiation, aucun workaround n’est proposé.
La seule solution est de mettre à jour vos firewalls ASA (voir tableau ci-dessus).
Le détail complet est dans la « Security Advisory » Cisco :
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike
En cas de question ou de problème sur ce sujet, n’hésitez pas à contacter les équipes Nomios.
Edit du 16 Février 2016: Cisco ayant mis à jour ces préconisations, la mention « migrate to 9.1(7) or later » a été changée en « migrate to 9.1(6.11) or later ».