DFN-CERT-2017-0690 Cisco Adaptive Security Appliance Software: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe und die Manipulation von Daten [Netzwerk][Cisco]

DFN-CERT-2017-0690 Cisco Adaptive Security Appliance Software: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe und die Manipulation von Daten [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Adaptive Security Appliance Software 9.0
Cisco Adaptive Security Appliance Software 9.1
Cisco Adaptive Security Appliance Software < 9.1(7.12) Cisco Adaptive Security Appliance Software < 9.1(7.14) Cisco Adaptive Security Appliance Software 9.2 Cisco Adaptive Security Appliance Software < 9.2(4.18) Cisco Adaptive Security Appliance Software < 9.2(4.19) Cisco Adaptive Security Appliance Software 9.3 Cisco Adaptive Security Appliance Software 9.4 Cisco Adaptive Security Appliance Software < 9.4(4) Cisco Adaptive Security Appliance Software < 9.4(4.1) Cisco Adaptive Security Appliance Software 9.5 Cisco Adaptive Security Appliance Software < 9.5(3.2) Cisco Adaptive Security Appliance Software < 9.5(3.7) Cisco Adaptive Security Appliance Software 9.6 Cisco Adaptive Security Appliance Software < 9.6(2.2) Cisco Adaptive Security Appliance Software < 9.6(2.8) Betroffene Plattformen: Cisco 7600 Router Cisco Adaptive Security Virtual Appliance (ASAv) Cisco ASA 1000V Cloud Firewall Cisco ASA 5500 Cisco ASA 5500-X Cisco Catalyst 6500 Cisco Industrial Security Appliance 3000 Cisco Firepower 9300 Series Mehrere Schwachstellen in der Cisco ASA Software können auch von einem entfernten, nicht authentifizierten Angreifer für das Bewirken eines Systemneustarts und damit für einen Denial-of-Service (DoS)-Angriff ausgenutzt werden. Über eine der Schwachstellen ist zudem die Korrumpierung der DNS-Datenbasis möglich. Um die Schwachstellen CVE-2017-6607 bis CVE-2017-6610 zu beheben, benennt Cisco die Cisco Adaptive Security Appliance Software Versionen 9.1(7.12), 9.2(4.18), 9.4(4), 9.5(3.2) und 9.6(2.2) sowie spätere als Sicherheitsupdates. Einzelne Schwachstellen sind teilweise bereits mit niedrigeren Programmversionen behoben. Zusätzlich veröffentlicht Cisco Informationen zu einer weiteren Denial-of-Service-Schwachstelle (CVE-2017-3793), die in der Cisco Adaptive Security Appliance (ASA) Software, aber auch in der Cisco Firepower Threat Defense (FTD) Software besteht. Über die Cisco Bug ID CSCvb46321 wird die ASA Software Version 9.1(7) auf Cisco ASA 5500-X Series Firewalls als verwundbar benannt. In der zugehörigen CVRF-Version der Cisco Sicherheitsmeldungen werden allerdings weit mehr, auch höhere Programmversionen, welche die oben aufgeführten fehlerkorrigierten ASA Software Versionen einschließen, mit Ausnahme der Version 9.2(4.18), als verwundbar benannt. In der CVRF-Version werden keine Angaben zu der betroffenen Plattform gemacht. Informationen zu den betroffenen FTD Software Versionen sind nicht vorhanden. Entsprechend den Angaben in der Cisco Bug ID CSCvb46321 sollten die Cisco Adaptive Security Appliance Software Versionen 9.1(7.14), 9.2(4.19), 9.4(4.1), 9.5(3.7) und 9.6(2.8) existieren und demnach alle aufgeführten Schwachstellen adressieren. Patch: Cisco Security Advisory cisco-sa-20170419-asa-dns https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-dns

Patch:

Cisco Security Advisory cisco-sa-20170419-asa-ipsec

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-ipsec

Patch:

Cisco Security Advisory cisco-sa-20170419-asa-norm

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-norm

Patch:

Cisco Security Advisory cisco-sa-20170419-asa-tls

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-tls

Patch:

Cisco Security Advisory cisco-sa-20170419-asa-xauth

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-xauth

CVE-2017-6610: Schwachstelle in Cisco ASA Software ermöglicht
Denial-of-Service-Angriff

Eine Schwachstelle im Internet Key Exchange Version 1 (IKEv1) XAUTH
Programmcode der Cisco ASA Software basiert auf der unzureichenden
Validierung der währende der IKEv1 Aushandlung (Negotiation) übermittelten
IKEv1 XAUTH Parameter. Ein entfernter, einfach authentifizier Angreifer kann
diese Schwachstelle ausnutzen, um einen Neustart und damit einen
Denial-of-Service (DoS)-Zustand des betroffenen Systems auszulösen. Die
Schwachstelle betrifft Systeme, die im ‘routed firewall mode’ und im
‘single’ oder ‘multiple context mode’ betrieben werden. Die Schwachstelle
kann über IPv4 oder IPv6 Datenverkehr an das betroffene System ausgenutzt
werden, wobei erfolgreich eine IKEv1 Phase 1 aufgebaut werden muss. Das
bedeutet, dass der Angreifer Wissen über einen vorab ausgetauschten
Schlüssel (pre-shared key) oder ein gültiges Zertifikat für die Phase 1
Authentifizierung besitzen muss.

CVE-2017-6609: Schwachstelle in Cisco ASA Software ermöglicht
Denial-of-Service-Angriff

Eine Schwachstelle im IPsec Programmcode der Cisco ASA Software basiert auf
der unpassenden Verarbeitung manipulierter IPsec Pakete. Ein entfernter,
einfach authentifizierter Angreifer kann die Schwachstelle ausnutzen, um
einen Denial-of-Service (DoS)-Zustand mittels eines Neustarts des
betroffenen Systems zu verursachen. Die Schwachstelle betrifft Systeme, die
im ‘routed firewall mode’ und im ‘single’ oder ‘multiple context mode’
betrieben werden. Die Schwachstelle kann über IPv4 oder IPv6 Datenverkehr an
das betroffene System ausgenutzt werden, allerdings ist für eine
erfolgreiche Ausnutzung der vorherige Aufbau eines IPsec Tunnels
erforderlich.

CVE-2017-6608: Schwachstelle in Cisco ASA Software ermöglicht
Denial-of-Service-Angriff

Im Secure Sockets Layer (SSL) und Transport Layer Security (TLS)
Programmcode der Cisco ASA Software besteht eine Schwachstelle aufgrund der
unpassenden Verarbeitung von manipulierten SSL- oder TLS-Datenpaketen. Diese
kann von einem entfernten, nicht authentifizierten Angreifer ausgenutzt
werden, um einen Denial-of-Service (DoS)-Zustand des betroffenen Systems zu
provozieren, indem er über manipulierte SSL- oder TLS-Pakete einen Neustart
auslöst. Die Schwachstelle betrifft Systeme, die im ‘routed’ oder
‘transparent firewall mode’ und im ‘single’ oder ‘multiple context mode’
betrieben werden. Die Schwachstelle kann über IPv4 oder IPv6 Datenverkehr an
das betroffene System ausgenutzt werden, sofern eine gültige SSL- oder
TLS-Verbindung aufgebaut wurde.

CVE-2017-6607: Schwachstelle in Cisco ASA Software ermöglicht
Denial-of-Service-Angriff und Manipulation von Daten

Im DNS-Programmcode der Cisco ASA Software existiert eine Schwachstelle bei
der Verarbeitung manipulierter DNS-Antworten. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle mittels einer
manipulierten DNS-Antwort ausnutzen, um einen Neustart des Systems zu
provozieren oder um lokal gespeicherte DNS-Informationen (Local DNS Cache)
zu korrumpieren. Die Schwachstelle betrifft Systeme, die im ‘routed’ oder
‘transparent firewall mode’ und im ‘single’ oder ‘multiple context mode’
betrieben werden. Die Schwachstelle kann über IPv4 oder IPv6 Datenverkehr an
das betroffene System ausgenutzt werden.

CVE-2017-3793: Schwachstelle in Cisco ASA Software und Cisco FTD Software
ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle im TCP Normalizer der Cisco Adaptive Security Appliance
(ASA) Software und der Cisco Firepower Threat Defense (FTD) Software besteht
aufgrund der unpassenden Begrenzung der globalen ‘out-of-order TCP Queue’
für spezifische Blockgrößen. Ein entfernter, nicht authentifizierter
Angreifer kann die Schwachstelle durch das Senden einer großen Anzahl
spezifischer TCP-Verbindungen, die ein ‘out-of-order’-Segment enthalten,
ausnutzen, so dass eingehender Datenverkehr auf allen Interfaces verworfen
wird und somit ein Denial-of-Service (DoS)-Zustand eintritt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0690/

Cisco Security Advisory cisco-sa-20170419-asa-dns:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-dns

Cisco Security Advisory cisco-sa-20170419-asa-ipsec:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-ipsec

Cisco Security Advisory cisco-sa-20170419-asa-norm:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-norm

Cisco Security Advisory cisco-sa-20170419-asa-tls:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-tls

Cisco Security Advisory cisco-sa-20170419-asa-xauth:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-xauth

Schwachstelle CVE-2017-3793 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3793

Schwachstelle CVE-2017-6607 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6607

Schwachstelle CVE-2017-6608 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6608

Schwachstelle CVE-2017-6609 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6609

Schwachstelle CVE-2017-6610 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6610

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben