Faiblesse dans les concentrateurs VPN Cisco Séries 3000
Date : 03 Août 2005
La société "NTA Monitor" a découvert une faiblesse dans les concentrateurs Cisco VPN Séries 3000, lorsque cet équipement est configuré pour réaliser l’authentification à partir des noms de groupe.
En effet, le concentrateur retourne une réponse différente selon que le nom de groupe est valide ou non. Ceci permet à un attaquant distant de lancer des attaques par dictionnaire (non limitées par le concentrateur) pour récupérer un nom de groupe valide. Une fois celui-ci obtenu, l’attaquant peut l’utiliser pour obtenir le "hash" du groupe (donnée renvoyée par le concentrateur) et tenter ensuite de le casser pour obtenir le mot de passe du groupe.
La possession du nom et du mot de passe du groupe permet ensuite à l’attaquant d’effectuer la première phase de négociation IKE et d’établir une "SA" (association de sécurité IPSec définie entre deux entités réseau) sur le concentrateur. L’attaquant peut par la suite construire des attaques de type "man-in-the-middle" au niveau l'authentification "XAUTH" effectuée lors de la seconde phase de négociation ("XAUTH" est une extension du protocole "IKE" implémenté dans les produits VPN Cisco).
Cette faille impacte les concentrateurs VPN Cisco 3000 : 3005, 3015, 3020, 3030, 3060 et 3080. La version logicielle 4.1.7.F de ces concentrateurs corrige cette vulnérabilité. Une solution temporaire est d’utiliser l’authentification par certificat plutôt que l’authentification par groupe.
Le Cert-IST n'a pas émis d'avis de sécurité sur ce problème car son exploitation ne permet pas un accès VPN "total" au concentrateur. Seule la première phase de la négociation IPSec peut être potentiellement compromise. Pour avoir un accès "total", un mécanisme plus complexe (attaque de type "Man-In-The-Middle") doit être mis en œuvre.
De même Cisco a considéré ce problème comme un bug (CSCeg00323) plutôt qu'une faille de sécurité.
Pour plus d’information :
- Document de "NTA Monitor" : http://www.nta-monitor.com/news/vpn-flaws/cisco/VPN-Concentrator/index.htm
- Avis de sécurité de Secunia : http://secunia.com/advisories/15765/
- "Release Notes" pour le concentrateur Cisco VPN Séries 3000, Release 4.7.1 : http://www.cisco.com/univercd/cc/td/doc/product/vpn/vpn3000/4_7/471con3k.htm