DE | Deutsch

Kritische Sicherheitslücke in Cisco ASA: Remote-Code-Ausführung und Denial of Service

Von Charles Kionga | 20.02.2018

Eine Verwundbarkeit im XML Parser der Cisco ASA-Plattform erlaubt es einem Angreifer, das System neu zu starten oder Schadcode auszuführen. Der ursprünglich von Cisco bereitgestellte Patch war unvollständig, zwischenzeitlich wurden weitere Angriffsvektoren entdeckt, daher sollten die neuesten Software-Updates unverzüglich eingespielt werden.

Welche Systeme sind betroffen?

Die ASA-Plattform kommt auf den unterschiedlichsten Appliances zum Einsatz. Dies ist die Liste der betroffenen Systeme:

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • ASA 1000V Cloud Firewall
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4110 Security Appliance
  • Firepower 4120 Security Appliance
  • Firepower 4140 Security Appliance
  • Firepower 4150 Security Appliance
  • Firepower 9300 ASA Security Module
  • Firepower Threat Defense Software (FTD)
  • FTD Virtual (FTDv)

Welche Dienste sind verwundbar?

Die Sicherheitslücke kann ausgenutzt werden, sobald die ASA-Plattform SSL- oder IKEv2-VPN-Dienste aktiviert hat. Sobald ein Angreifer diese Dienste erreichen kann, ist er auch in der Lage, diese Schwachstelle auszunutzen. Dies betrifft im Besonderen VPN-Installationen und Firewalls, die eine Konfiguration über das Internet ermöglichen. Eine Übersicht der anfälligen Konfigurationen findet sich im Cisco Security Advisory sowie in diesem weiterführenden Blog-Artikel. Mittels Kommandozeile sind betroffene Systeme einfach zu identifizieren: Dies ermöglicht es besonders in größeren Installationen, einen schnellen Überblick der verwundbaren Systeme zu erlangen.

 

Welche Maßnahmen sind erforderlich?

Es wird empfohlen, möglichst zeitnah die relevanten Sicherheitsupdates einzuspielen, da bereits erste Denial-of-Service-Angriffe beobachtet wurden. Auch Kunden ohne aktive Cisco Supportverträge können diese Updates erhalten, indem sie sich an Cisco TAC wenden unter Angabe der Seriennummer und des Cisco Security Advisory.