[Warning] Kritische Sicherheitslücke in Cisco ASA Software - Patches verfügbar
Stephan Richter
richter at cert.at
Thu Feb 11 11:33:13 CET 2016
11. Februar 2016
Beschreibung
Cisco hat ein Advisory[1] zu einer kritischen Sicherheitslücke in Cisco
ASA veröffentlicht. Die Lücke befindet sich im Code, der für den
Internet Key Exchange (IKE) zuständig ist, und würde es einem nicht
authentifizierten Angreifer, durch ein speziell gestaltetes UDP-Paket
erlauben, Code auf dem betroffenen Gerät auszuführen.
CVE-Nummer: CVE-2016-1287
Auswirkungen
Durch Ausnützen dieser Lücke kann ein Angreifer laut Cisco die
Kontrolle über betroffene Systeme übernehmen.
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese
erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.
Da die Lücke nun bekannt ist, ist damit zu rechnen, dass in zunehmendem
Masse versucht werden wird, diese auszunützen.
Betroffene Systeme
Folgende Cisco ASA-Systeme sind von der Lücke betroffen:
* Cisco ASA 5500 Series Adaptive Security Appliances
* Cisco ASA 5500-X Series Next-Generation Firewalls
* Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches
and Cisco 7600 Series Routers
* Cisco ASA 1000V Cloud Firewall
* Cisco Adaptive Security Virtual Appliance (ASAv)
* Cisco Firepower 9300 ASA Security Module
* Cisco ISA 3000 Industrial Security Appliance
Damit die Schwachstelle für einen Angreifer ausnutzbar ist, muss die
ASA als Endpunkt für IKE1 oder IKE2 VPN-Verbindungen konfiguriert sein.
Das inkludiert folgende VPN-Konfigurationen:
* LAN-to-LAN IPsec VPN
* Remote access VPN using the IPsec VPN client
* Layer 2 Tunneling Protocol (L2TP)-over-IPsec VPN connections
* IKEv2 AnyConnect
Nicht betroffen sind Systeme, die ausschliesslich zum Terminieren
folgender VPN-Verbindungen konfiguriert sind:
* Clientless SSL
* AnyConnect SSL
Ob die laufende Konfiguration anfällig ist lässt sich - vorausgesetzt,
dass für zumindest ein Interface eine Crypto Map konfiguriert ist - mit
folgendem Befehl herausfinden:
show running-config crypto map | include interface
Liefert das Kommando einen Output, wie etwa
crypto map outside_map interface outside
ist die aktuelle Konfiguration verwundbar.
Abhilfe
Einspielen der von Cisco zur Verfügung gestellten Updates.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Cisco Advisory
[1]https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike
--
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20160211/4d9438c2/attachment.sig>
More information about the Warning
mailing list