Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Adaptive Security Appliance Software 8.x
Cisco Adaptive Security Appliance Software >= 9.0
Cisco Adaptive Security Appliance Software >= 9.1
Cisco Adaptive Security Appliance Software < 9.1.7.20 Cisco Adaptive Security Appliance Software >= 9.2
Cisco Adaptive Security Appliance Software < 9.2.4.25 Cisco Adaptive Security Appliance Software >= 9.3
Cisco Adaptive Security Appliance Software >= 9.4
Cisco Adaptive Security Appliance Software < 9.4.4.14 Cisco Adaptive Security Appliance Software >= 9.5
Cisco Adaptive Security Appliance Software >= 9.6
Cisco Adaptive Security Appliance Software < 9.6.3.20 Cisco Adaptive Security Appliance Software >= 9.7
Cisco Adaptive Security Appliance Software < 9.7.1.16 Cisco Adaptive Security Appliance Software >= 9.8
Cisco Adaptive Security Appliance Software < 9.8.2.14 Cisco Adaptive Security Appliance Software >= 9.9
Cisco Adaptive Security Appliance Software < 9.9.1.2 Cisco Firepower Threat Defense Software > 6.2.2

Betroffene Plattformen:

Cisco ASA 1000V Cloud Firewall
Cisco ASA 5500
Cisco ASA 5500-X
Cisco Catalyst 6500 Series 7600 Series ASA Services Module
Cisco Industrial Security Appliance 3000
Cisco Firepower 2100 Series
Cisco Firepower 4110 Series
Cisco Firepower 9300 Series
Adaptive Security Virtual Appliance

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe speziell
präparierter XML-Pakete, die an ein ‘webvpn’-Interface betroffener Cisco
Adaptive Security Appliance (ASA)-Geräte gesendet werden, beliebigen
Programmcode auf dem Gerät zur Ausführung bringen, das Gerät komplett
kompromittieren oder einen Neustart des Geräts erzwingen.

Laut Hersteller ist die Schwachstelle zwar öffentlich bekannt, wird aber
nicht aktiv ausgenutzt. Betroffen sind alle Versionen der Versionszweige 8.x
und 9.0 bis 9.9 mit aktivierter ‘webvpn’-Funktionalität. Der Hersteller
weist darauf hin, dass ASA-Software vor Version 9.1 und in den
Versionszweigen 9.3 und 9.5 nicht mehr mit Updates versorgt wird. Benutzer
der Software werden angewiesen, auf die nicht verwundbaren Versionen der
jeweils höheren Versionszweige zu migrieren. Dies sind 9.1.7.20, 9.4.4.14
und 9.6.3.20. Die Versionen 9.2.4.25, 9.7.1.16, 9.8.2.14 und 9.9.1.2 stehen
ebenfalls als Sicherheitsupdate zur Verfügung.

Darüber hinaus ist die Cisco Firepower Threat Defense (FTD) Software ab
Version 6.2.2 verwundbar, da auch hier der ASA-Programmcode eingesetzt wird.
Es stehen zwei Hotfixes zur Behebung der Schwachstelle zur Verfügung, von
denen einer speziell für Cisco Firepower 2100 Series Security Appliances
entwickelt wurde.

Patch:

Cisco Security Advisory cisco-sa-20180129-asa1

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1

CVE-2018-0101: Schwachstelle in Cisco Adaptive Security Appliance Software
ermöglicht u.a. Übernahme der Kontrolle

Bei aktiviertem ‘webvpn’ kann in Cisco Adaptive Security Appliances eine
Schwachstelle in der Secure Sockets Layer (SSL) VPN-Funktionalität
ausgenutzt werden, um bereits freigegebenen Speicher erneut freizugeben
(Double Free).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0209/

Cisco Security Advisory cisco-sa-20180129-asa1:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1

Schwachstelle CVE-2018-0101 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-0101

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.