DFN-CERT-2018-0209 Cisco Adaptive Security Appliance (ASA): Eine Schwachstelle ermöglicht u.a. die komplette Kompromittierung betroffener Geräte

DFN-CERT-2018-0209 Cisco Adaptive Security Appliance (ASA): Eine Schwachstelle ermöglicht u.a. die komplette Kompromittierung betroffener Geräte

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (06.02.18):
Cisco aktualisiert den referenzierten Sicherheitshinweis, da durch weitere
Untersuchungen der bereits veröffentlichten Schwachstelle zusätzliche
Angriffsvektoren und betroffene Features identifiziert wurden. Außerdem
wurde festgestellt, dass die veröffentlichten Sicherheitsupdates die
Schwachstelle nicht vollständig beheben, weshalb aktualisierte
Sicherheitsupdates bereitgestellt werden. Das ASA-Sicherheitsupdate
9.1.7.20 wird durch die Version 9.1.7.23 ersetzt, 9.2.4.25 durch Version
9.2.4.27, 9.4.4.14 durch Version 9.4.4.16, 9.6.3.20 durch Version 9.6.4.3,
9.7.1.16 durch Version 9.7.1.21 und 9.8.2.14 durch Version 9.8.2.20.
Lediglich die Version 9.9.1.2 der ASA-Software leibt als Sicherheitsupdate
unverändert bestehen. Weiterhin werden jetzt auch die Cisco Firepower
Threat Defense (FTD) Software Versionen 6.0.0, 6.0.1, 6.1.0, 6.2.0 und
6.2.1 als verwundbar benannt und Hotfixes bereitgestellt. Eine
entsprechende List mit Hotfixes und betroffenen Hardware Plattformen
findet sich im Security Advisory Abschnitt ‘FTD Software’.
Version 2 (31.01.18):
Cisco aktualisiert den Sicherheitshinweis zur Schwachstelle CVE-2018-0101
in der Cisco ASA Software hinsichtlich der zur Ausnutzung der
Schwachstelle notwendigen Voraussetzungen. Cisco ASA Software ist
verwundbar, wenn das ‘webvpn’-Feature global aktiviert ist. Zusätzlich
muss in der Konfiguration ein Interface über ‘enable [Interfacename]’
aktiviert sein. Darüber hinaus kann die Schwachstelle nur ausgenutzt
werden, wenn ein ‘listen socket’ für SSL und DTLS auf TCP-Port 443
vorhanden ist. Weitere Hinweise zur Identifikation betroffener Systeme
werden im Sicherheitshinweis unter ‘Affected Products > Vulnerable
Products > ASA Software’ gegeben.
Version 1 (30.01.18):
Neues Advisory

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe speziell
präparierter XML-Pakete, die an ein ‘webvpn’-Interface betroffener Cisco
Adaptive Security Appliance (ASA)-Geräte gesendet werden, beliebigen
Programmcode auf dem Gerät zur Ausführung bringen, das Gerät komplett
kompromittieren oder einen Neustart des Geräts erzwingen.

Laut Hersteller ist die Schwachstelle zwar öffentlich bekannt, wird aber
nicht aktiv ausgenutzt. Betroffen sind alle Versionen der Versionszweige 8.x
und 9.0 bis 9.9 mit aktivierter ‘webvpn’-Funktionalität. Der Hersteller
weist darauf hin, dass ASA-Software vor Version 9.1 und in den
Versionszweigen 9.3 und 9.5 nicht mehr mit Updates versorgt wird. Benutzer
der Software werden angewiesen, auf die nicht verwundbaren Versionen der
jeweils höheren Versionszweige zu migrieren. Dies sind 9.1.7.20, 9.4.4.14
und 9.6.3.20. Die Versionen 9.2.4.25, 9.7.1.16, 9.8.2.14 und 9.9.1.2 stehen
ebenfalls als Sicherheitsupdate zur Verfügung.

Darüber hinaus ist die Cisco Firepower Threat Defense (FTD) Software ab
Version 6.2.2 verwundbar, da auch hier der ASA-Programmcode eingesetzt wird.
Es stehen zwei Hotfixes zur Behebung der Schwachstelle zur Verfügung, von
denen einer speziell für Cisco Firepower 2100 Series Security Appliances
entwickelt wurde.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0209]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben