DFN-CERT-2017-1259 Cisco Web Security Appliance, Cisco Web Security Virtual Appliance: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme [Netzwerk][Cisco]

DFN-CERT-2017-1259 Cisco Web Security Appliance, Cisco Web Security Virtual Appliance: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

AsyncOS WSA 9.0.0 Virtual Appliance
AsyncOS WSA 9.0.0-162
AsyncOS WSA 9.0.0-193
AsyncOS WSA 9.0.0-485
AsyncOS WSA 9.0 Base Virtual Appliance
AsyncOS WSA 10.0.0 Virtual Appliance
AsyncOS WSA 10.0.0-232
AsyncOS WSA 10.0.0-233
AsyncOS WSA 10.0 Base
AsyncOS WSA 10.0 Base Virtual Appliance
AsyncOS WSA 10.1.0
AsyncOS WSA 10.1.0 Virtual Appliance
AsyncOS WSA 10.1.0-204
AsyncOS WSA 10.1.1 Virtual Appliance
AsyncOS WSA 10.1.1-230
AsyncOS WSA 10.1.1-234
AsyncOS WSA 10.1.1-235
AsyncOS WSA 10.1 Base Virtual Appliance
AsyncOS WSA 10.5.0
AsyncOS WSA 10.5.0-358
AsyncOS WSA 10.5.1 Virtual Appliance
AsyncOS WSA 10.5.1-270
AsyncOS WSA 10.5 Base Virtual Appliance
AsyncOS WSA 11.0.0
AsyncOS WSA 11.0.0 Virtual Appliance
AsyncOS WSA 11.0.0-613
AsyncOS WSA 11.0.0-641
AsyncOS WSA 11.0 Base Virtual Appliance

Betroffene Plattformen:

Cisco Web Security Appliance
Cisco Web Security Virtual Appliance

Mehrere Schwachstellen in Cisco Web Security Appliance (WSA) und Cisco Web
Security Virtual Appliance bzw. der Cisco AsyncOS Software für Web Security
Appliance und Web Security Virtual Appliance ermöglichen auch einem
entfernten, einfach authentisierten Angreifer eine Privilegieneskalation bis
auf ‘root’-Rechte durchzuführen und somit ein System vollständig zu
übernehmen. Weitere Schwachstellen ermöglichen einem entfernten, nicht
authentisierten Angreifer das Ausspähen von Informationen und Umgehen von
Sicherheitsvorkehrungen sowie einem entfernten, einfach authentisierten
Angreifer die Durchführung eines dauerhaft wirksamen Cross-Site-Scripting
(XSS)-Angriffs.

Cisco bestätigt die Schwachstellen und verweist bezüglich Informationen zu
betroffenen Software Releases auf die jeweils in den Sicherheitsmeldungen
referenzierten Cisco Bug IDs. Weiterhin haben die Bug IDs den Status ‘Fixed’
und es werden als ‘Known Fixed Releases’ für CVE-2017-6748 die Versionen
10.1.1-235 und 10.5.1-270 und für CVE-2017-6750 die Version 10.5.1-270
genannt.

Die Schwachstelle CVE-2017-6746, die als schwerwiegendste der Schwachstellen
eingestuft wird, betrifft Cisco AsyncOS ab Version 10.0. Benutzern der
Versionszweige 10.0 und 10.1 steht die Version 10.1.1-235 als
Sicherheitsupdate zur Verfügung. Die Version 10.5.1-270 ist das
Sicherheitsupdate für den Versionszweig 10.5. Für den Versionszweig 11.0 ist
das Release 11.5 als Sicherheitsupdate angekündigt.

Patch:

Cisco Security Advisory cisco-sa-20170719-wsa1 (CVE-2017-6746)

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170719-wsa1

Patch:

Cisco Security Advisory cisco-sa-20170719-wsa2 (CVE-2017-6748)

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170719-wsa2

Patch:

Cisco Security Advisory cisco-sa-20170719-wsa3 (CVE-2017-6749)

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170719-wsa3

Patch:

Cisco Security Advisory cisco-sa-20170719-wsa4 (CVE-2017-6750)

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170719-wsa4

Patch:

Cisco Security Advisory cisco-sa-20170719-wsa5 (CVE-2017-6751)

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170719-wsa5

CVE-2017-6751: Schwachstelle in Cisco Web Security Appliance ermöglicht
Umgehen von Sicherheitsvorkehrungen

In der Web-Proxy-Funktionalität der Cisco Web Security Appliance (WSA)
existiert eine Schwachstelle, weil betroffene Geräte solchen Netzwerkverkehr
nicht ablehnen, welcher von der Web-Proxy-Schnittstelle an eine
administrative Managementschnittstelle des Gerätes gesandt wird. Diese
Schwachstelle betrifft virtuelle und Hardware-Versionen der Cisco Web
Security Appliance (WSA). Ein Angreifer kann einen präparierten HTTP- oder
HTTPS-Stream senden, welcher an die administrative Managementschnittstelle
eines betroffenes Gerät weitergeleitet wird, statt korrekt verworfen zu
werden. Ein entfernter, nicht authentisierter Angreifer kann somit die
Sicherheitsvorkehrung ‘Interface Access Control’ umgehen.

CVE-2017-6750: Schwachstelle in Cisco Web Security Appliance ermöglicht
Ausspähen von Informationen

In AsyncOS für Cisco Web Security Appliance (WSA) existiert eine
Schwachstelle aufgrund des Vorhandenseins eines Benutzerkontos mit einem
voreingestellten und statischen Passwort. Diese Schwachstelle betrifft
virtuelle und Hardware-Versionen der Cisco Web Security Appliance (WSA). Ein
lokaler, nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen,
um sich mit den voreingestellten Zugangsdaten eines beschränkten Benutzers
einzuloggen, wodurch er die Seriennummer des Systems unter Verwendung der
Kommandozeile (CLI) ausspähen kann. Ein entfernter, nicht authentisierter
Angreifer kann Reports über die Webschnittstelle herunterladen.

CVE-2017-6749: Schwachstelle in Cisco Web Security Appliance ermöglicht
Cross-Site-Scripting-Angriff

In der webbasierten Managementschnittstelle der Cisco Web Security Appliance
(WSA) existiert eine Schwachstelle aufgrund unzureichender Validierung von
Benutzereingaben. Diese Schwachstelle betrifft virtuelle und
Hardware-Versionen der Cisco Web Security Appliance (WSA). Ein Angreifer,
der einen Benutzer der Managementschnittstelle dazu verleiten kann, auf
einen präparierten Link zu klicken, kann diese Schwachstelle ausnutzen, um
beliebigen Skript-Code im Kontext der Schnittstelle zur Ausführung zu
bringen, wodurch er Zugriff auf sensitive Informationen im Browser des
Benutzers erlangen kann. Ein entfernter, einfach authentisierter Angreifer
kann einen dauerhaften (‘stored’) Cross-site-Scripting (XSS)-Angriff gegen
Benutzer der web-basierten Managementschnittstelle eines betroffenen Gerätes
durchführen.

CVE-2017-6748: Schwachstelle in Cisco Web Security Appliance ermöglicht
Übernahme des Systems

In der Kommandozeilenschnittstelle (Command Line Interface, CLI) der Cisco
Web Security Appliance (WSA) existiert eine Schwachstelle aufgrund
unzureichender Validierung von Benutzereingaben. Diese Schwachstelle
betrifft virtuelle und Hardware-Versionen der Cisco Web Security Appliance
(WSA). Ein lokaler, einfach authentisierter und mit Operator-Level- oder
Administrator-Level-Privilegien ausgestatteter Angreifer kann diese
Schwachstelle ausnutzen, um Kommandos in die Kommandozeile einzuschleusen,
wodurch er aus der CLI Subshell ausbrechen und System-Level-Kommandos auf
dem unterliegenden Betriebssystem als ‘root’ ausführen kann.

CVE-2017-6746: Schwachstelle in Cisco Web Security Appliance ermöglicht
Übernahme des Systems

In der Webschnittstelle der Cisco Web Security Appliance (WSA) existiert
eine Schwachstelle aufgrund unzureichender Validierung von Benutzereingaben.
Diese Schwachstelle betrifft bestimmte Releases der Cisco AsyncOS Software
10.0 und später für WSA auf virtuellen und Hardware Appliances. Ein
entfernter, einfach authentisierter und hoch privilegierter Angreifer kann
diese Schwachstelle ausnutzen, um Kommandos in die Webschnittstelle
einzuschleusen, wodurch er seine Privilegien von Administrator- auf
Root-Rechte erhöhen kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1259/

Cisco Security Advisory cisco-sa-20170719-wsa1 (CVE-2017-6746):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170719-wsa1

Cisco Security Advisory cisco-sa-20170719-wsa2 (CVE-2017-6748):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170719-wsa2

Cisco Security Advisory cisco-sa-20170719-wsa3 (CVE-2017-6749):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170719-wsa3

Cisco Security Advisory cisco-sa-20170719-wsa4 (CVE-2017-6750):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170719-wsa4

Cisco Security Advisory cisco-sa-20170719-wsa5 (CVE-2017-6751):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170719-wsa5

Schwachstelle CVE-2017-6746 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6746

Schwachstelle CVE-2017-6748 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6748

Schwachstelle CVE-2017-6749 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6749

Schwachstelle CVE-2017-6750 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6750

Schwachstelle CVE-2017-6751 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6751

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben