Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Cisco Content Security Management Virtual Appliance 8.4.0.0150
Cisco Content Security Management Virtual Appliance 9.0.0.087
Cisco Email Security Virtual Appliance 8.0.0
Cisco Email Security Virtual Appliance 8.5.6
Cisco Email Security Virtual Appliance 8.5.7
Cisco Email Security Virtual Appliance 9.0.0
Cisco Email Security Virtual Appliance 9.1.0
Cisco Web Security Virtual Appliance 7.7.5
Cisco Web Security Virtual Appliance 8.0.5
Cisco Web Security Virtual Appliance 8.5.0
Cisco Web Security Virtual Appliance 8.5.1
Cisco Web Security Virtual Appliance 8.6.0
Cisco Web Security Virtual Appliance 8.7.0
Betroffene Plattformen:
Cisco Content Security Management Virtual Appliance
Cisco Email Security Virtual Appliance
Cisco Web Security Virtual Appliance
Ein entfernter, nicht authentisierter Angreifer kann durch Ausnutzen der
Schwachstellen kryptografische Sicherheitsmaßen umgehen und die betroffenen
Geräte sogar komplett übernehmen, indem er die Kenntnis privater
Default-Schlüssel anderer Installationen nutzt. Von diesen Schwachstellen
sind nur die jeweiligen Cisco Virtual Appliances (ESAv, SMAv und WSAv)
betroffen, während Cisco ESA, SMA und WSA vom Hersteller als nicht
verwundbar benannt werden.
Patch:
Cisco Security Advisory: 20150625 Multiple Default SSH Keys Vulnerabilities
in Cisco Virtual WSA, ESA, and SMA
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150625-ironport
Patch:
Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4217
http://tools.cisco.com/security/center/viewAlert.x?alertId=39461
CVE-2015-4217: Schwachstelle in Cisco Virtual ESA, SMA und WSA erlaubt
Umgehen von Sicherheitsvorkehrungen
Eine Schwachstelle im Remote-Support-Feature der Cisco Web Security Virtual
Appliance (WSAv), Email Security Virtual Appliance (ESAv) und Content
Security Management Virtual Appliance (SMAv) Geräte, die vor dem 25.06.2015
ausgeliefert wurden, besteht darin, dass diese denselben vorkonfigurierten
SSH Host Key für verschiedene Kundeninstallationen verwenden. Das
erleichtert einem entfernten, nicht authentisierten Angreifer, indem er die
Kenntnis eines privaten Schlüssels von einer anderen Installation nutzt, die
kryptografischen Schutzmechanismen zu besiegen.
CVE-2015-4216: Schwachstelle in Cisco Virtual ESA, SMA und WSA erlaubt
Erlangen von Administratorrechten
Das Remote-Support-Feature der Cisco Web Security Virtual Appliance (WSAv),
Email Security Virtual Appliance (ESAv) und Security Management Virtual
Appliance (SMAv) Geräte, welche vor dem 25.06.2015 ausgeliefert wurden,
verwendet denselben Default SSH Root Authorized Key über verschiedene
Kundeninstallationen. Ein entfernter, nicht authentisierter Angreifer kann
dadurch leichter die Anmeldung umgehen, indem er die Kenntnis eines privaten
Schlüssels von einer anderen Installation nutzt.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0933/
Cisco Security Advisory: 20150625 Multiple Default SSH Keys Vulnerabilities in
Cisco Virtual WSA, ESA, and SMA:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150625-ironport
Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4217:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39461
Schwachstelle CVE-2015-4216 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4216
Schwachstelle CVE-2015-4217 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4217
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
