Cisco alerte sur une faille RCE dans les services web/SSL VPN de ASA/FTD, IOS/IOS XE et IOS XR (ASR 9001)

Source: Cisco Security Advisory (sec.cloudapps.cisco.com). Cisco publie un avis sur une vulnérabilité d’exécution de code à distance (RCE) via des services web/SSL impactant plusieurs familles de produits lorsque certaines fonctionnalités sont activées, et fournit des commandes pour déterminer si un équipement est exposé.

• Produits affectés (selon configuration) et identifiants internes: Secure Firewall ASA/FTD (CSCwo18850), IOS avec Remote Access SSL VPN activé (CSCwo35704), IOS XE avec Remote Access SSL VPN activé (CSCwo35704, CSCwo35779), et IOS XR 32-bit sur routeurs ASR 9001 avec HTTP server activé (CSCwo49562). Cisco NX-OS n’est pas affecté.

• ASA — configurations susceptibles d’activer des sockets d’écoute SSL:

  • Mobile User Security (MUS) webvpn avec, par exemple: mus password, mus server enable port <Port_number>, mus <IPv4_address> <IPv4_mask> <interface_name>
  • SSL VPN webvpn: webvpn puis enable <interface_name>

• FTD — configurations potentiellement vulnérables:

  • AnyConnect SSL VPN webvpn: webvpn puis enable <interface_name>
  • Les fonctions Remote Access VPN sont activées depuis FMC (Devices > VPN > Remote Access) ou FDM (Device > Remote Access VPN).

• IOS — détection de l’activation de Remote Access SSL VPN:

  • Commande: show running-config | section webvpn
  • Si la sortie contient inservice sur une ligne séparée, l’équipement est concerné (exemple fourni dans l’avis).

• IOS XE — détection de l’activation de Remote Access SSL VPN:

  • Commande: show running-config | section crypto ssl policy
  • Si une policy renvoyée ne contient pas la ligne shutdown, la fonctionnalité est active et l’équipement est concerné (exemple fourni).

• IOS XR (ASR 9001, 32-bit) — vérification de l’exposition:

  • Identifier l’architecture: run uname -s → QNX = 32-bit (concerné potentiellement), Linux = 64-bit (non concerné).
  • Vérifier le serveur HTTP: show running-config | include http server → si une sortie est renvoyée, HTTP server est activé et l’équipement 32-bit est concerné.

L’avis renvoie à la section « Fixed Software » pour les versions corrigées. Seuls les produits listés comme vulnérables sont concernés dans cet avis. 🎯 Type d’article: avis de sécurité technique visant à identifier les produits touchés et guider la vérification de l’exposition.

🔗 Source originale : https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O