[Warning] Kritische Sicherheitslücke in Cisco ASA Software - Patches verfügbar

Stephan Richter richter at cert.at
Thu Feb 11 11:33:13 CET 2016 

11. Februar 2016

Beschreibung

 Cisco hat ein Advisory[1] zu einer kritischen Sicherheitslücke in Cisco
 ASA veröffentlicht. Die Lücke befindet sich im Code, der für den
 Internet Key Exchange (IKE) zuständig ist, und würde es einem nicht
 authentifizierten Angreifer, durch ein speziell gestaltetes UDP-Paket
 erlauben, Code auf dem betroffenen Gerät auszuführen.

 CVE-Nummer: CVE-2016-1287

Auswirkungen

 Durch Ausnützen dieser Lücke kann ein Angreifer laut Cisco die
 Kontrolle über betroffene Systeme übernehmen.
 Damit sind alle Daten auf diesen Systemen, sowie alle durch diese
 erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

 Da die Lücke nun bekannt ist, ist damit zu rechnen, dass in zunehmendem
 Masse versucht werden wird, diese auszunützen.

Betroffene Systeme

 Folgende Cisco ASA-Systeme sind von der Lücke betroffen:
   * Cisco ASA 5500 Series Adaptive Security Appliances
   * Cisco ASA 5500-X Series Next-Generation Firewalls
   * Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches
     and Cisco 7600 Series Routers
   * Cisco ASA 1000V Cloud Firewall
   * Cisco Adaptive Security Virtual Appliance (ASAv)
   * Cisco Firepower 9300 ASA Security Module
   * Cisco ISA 3000 Industrial Security Appliance

 Damit die Schwachstelle für einen Angreifer ausnutzbar ist, muss die
 ASA als Endpunkt für IKE1 oder IKE2 VPN-Verbindungen konfiguriert sein.
 Das inkludiert folgende VPN-Konfigurationen:

   * LAN-to-LAN IPsec VPN
   * Remote access VPN using the IPsec VPN client
   * Layer 2 Tunneling Protocol (L2TP)-over-IPsec VPN connections
   * IKEv2 AnyConnect

 Nicht betroffen sind Systeme, die ausschliesslich zum Terminieren
 folgender VPN-Verbindungen konfiguriert sind:

   * Clientless SSL
   * AnyConnect SSL

 Ob die laufende Konfiguration anfällig ist lässt sich - vorausgesetzt,
 dass für zumindest ein Interface eine Crypto Map konfiguriert ist - mit
 folgendem Befehl herausfinden:

   show running-config crypto map | include interface

 Liefert das Kommando einen Output, wie etwa

   crypto map outside_map interface outside

 ist die aktuelle Konfiguration verwundbar.

Abhilfe

 Einspielen der von Cisco zur Verfügung gestellten Updates.

Hinweis

 Generell empfiehlt CERT.at, wo möglich die "automatisches
 Update"-Features von Software zu nutzen, parallel Firewall-Software
 aktiv und den Virenschutz aktuell zu halten.
   __________________________________________________________________

 Informationsquelle(n):
 Cisco Advisory
 [1]https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike


-- 
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20160211/4d9438c2/attachment.sig>

More information about the Warning mailing list