Cisco beseitigt Sicherheitslücken in AnyConnect-VPN und ASA-Firewalls

Ein Fehler im VPN-Client AnyConnect erlaubt es, den Internet Explorer mit System-Rechten zu starten. Bestimmte Firewalls sind anfällig für einen Heap-Überlauf. Einen von Sicherheitsforschern gefundenen Fehler im Switch-Betriebssystem IOS stuft Cisco indes als Feature ein.

Cisco hat Sicherheitswarnungen für den AnyConnect Secure Mobility Client für Windows und die ASA-Software bestimmter Firewall-Produkte des Unternehmens veröffentlicht. Eine von Forschern gemeldete Schwachstelle im Smart Install Protocol des Switch-Betriebssystems IOS, die das Einschleusen von Betriebssystem-Images erlauben soll, sieht das Unternehmen jedoch nicht als solche an.

Cisco Firepower 4100 (Bild: Cisco)Die Lücke in der ASA-Software betrifft auch die Firewall Cisco Firepower 4100 (Bild: Cisco).Ciscos VPN-Client AnyConnect erlaubt es einem Angreifer unter Umständen, den Microsoft-Browser Internet Explorer mit Systemrechten zu öffnen. Der Fehler im Modul Start Before Logon beruht auf einer unzureichenden Implementierung der Zugangskontrollen. Betroffene Nutzer sollten auf die aktuellen Versionen 4.4.00243 oder 4.3.05017 umsteigen.

Eine unzureichende Prüfung von Nutzereingaben in die SSL-VPN-Funktion der Cisco ASA Software kann indes aus der Ferne ausgenutzt werden, um einen Heap-Überlauf auszulösen. Unter Umständen ist laut Cisco auch das Ausführen von Schadcode möglich. Ein Angreifer muss jedoch über gültige Anmeldeinformationen für das Clientless SSL VPN Portal verfügen.

Betroffen sind allerdings nur Systeme, die im Routed Firewall-Modus betrieben werden. Zudem muss eine gültige TCP-Verbindung bestehen. Anfällig sind unter anderem die ASA 5500 Series Adaptive Security Appliances, die ASA 5500-x Series Next-Generation Firewalls, die Adaptive Security Virtual Appliance, die ASA for Firepower 9300 und 4100 Series sowie die ISA 3000 Industrial Appliance.

Der Fehler wurde nun in den ASA-Versionen 9.1 (7.13), 9.4 (4) und 9.6 (2.10) behoben. Nutzer von ASA 9.0, 9.2, 9.3 und 9.5 müssen jeweils auf ein neueres Release umsteigen. Das Release 9.7 ist nach Herstellerangaben nicht betroffen.

Das Smart Install Protocol, dass der Installation von Betriebssystem-Images auf Cisco-Switches dient, wird von Sicherheitsforschern kritisiert, weil es auf jegliche Authentifizierung verzichtet. Wie Mitarbeiter von Tenable, Trustwave und Digital Security feststellten, kann diese Funktion benutzt werden, um Switches manipulierte IOS-Images unterzuschieben. Cisco selbst räumt zwar einen möglichen Missbrauch ein, beharrt aber in einem Advisory darauf, dass es sich um eine beabsichtigte Funktion handelt.

„Cisco Smart Install ist ein ‚Plug-and-play‘ Konfigurations- und Image-Management-Feature, das die Implementierung neuer Switches ohne Nutzereingriff erlaubt“, teilt das Unternehmen mit. „Das Feature erlaubt es Kunden, einen Cisco-Switch an jeden beliebigen Standort zu liefern und ihn ohne jede weitere Konfiguration im Netzwerk zu installieren und zu betreiben.“

Umfrage

Welchen Stellenwert hat Nachhaltigkeit für IT-Anschaffungen Ihres Unternehmens?

Ergebnisse anzeigen

Loading ... Loading ...

Der neue Switch erhalte automatisch von einem als Smart Install Director bezeichneten Switch oder Router das richtige IOS-Image und die Konfigurationsdatei. Der Director vergebe zudem eine IP-Adresse und den Hostnamen des Clients. „Das Smart-Install-Feature ist ab Werk bei Client-Switches aktiviert. Die Client Switches müssen nicht konfiguriert werden.“

Cisco empfiehlt jedoch, Smart Install nicht im täglichen Betrieb zu aktivieren. Kunden, die das Protokoll nicht benötigten, sollten es deaktivieren. Zudem könne der Zugriff auf das Feature mit Access Control Lists eingeschränkt werden.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen - die wichtigsten Tipps

Themenseiten: Cisco, Router, Security, Sicherheit, Switches, VPN

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Cisco beseitigt Sicherheitslücken in AnyConnect-VPN und ASA-Firewalls

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *