Kritisches Leck in Cisco-Sicherheitslösung ASA von Hackern ausgenutzt

von Martin Schindler am , 15:51 Uhr

Die Cisco Adaptive Security Appliance (ASA) leidet unter einem Sicherheitsleck mit einem CVSS Score von 10. Nachdem eine detaillierte Analyse und ein Proof-of-Concept veröffentlicht wurden, warnt der Hersteller vor gezielten Angriffen auf das Leck.

Der Hersteller Cisco warnt in dem aktualisierten Advisory CVE-2018-0101 [1], dass Angreifer inzwischen das Leck aktiv ausnutzen. Betroffen sind neben der Adaptive Security Appliance (ASA) auch die Firepower Sicherheits Appliances von Cisco.

In dem Advisory, das für das Leck die höchste CVSS-Wertung mit 10 ausgibt [2], erklärt Cisco, dass „dem Hersteller Versuche bekannt sind, die in diesem Advisory beschriebene Verwundbarkeit auszunutzen“.

Cisco (Grafik: Cisco) [3]

Das Cisco-Advisory wurde wenige Tage vor einem angekündigten detaillierten Report über die Sicherheitslücke veröffentlicht. Ein Sicherheitsexperte der NCC Group sollte auf der Recon-Konferenz in Brüssel erklären, wie sich die Verwundbarkeit ausnutzen lässt. Der bevorstehende Report verstärkte bei Angreifern den Druck, das Leck zu patchen.

Über ein spezielles XML-File nutzt die Attacke einen sieben Jahre alten Fehler im Cisco XML-Parser aus. In der Folge bekommt der Angreifer remote Zugriff auf das angegriffene System. Mit 10 erreicht das Leck die maximale Wertung im CVSS.

Nachdem der NCC-Sicherheitsforscher Cedric Halbron zu Beginn der Woche eine 120 Seiten starke Analyse [4] des Fehlers lieferte, wurde kurze Zeit darauf ein Proof-of-Concept [5] über Pastebin veröffentlicht. Allerdings demonstrierten die Forscher lediglich einen Systemcrash. Dennoch könnten Angreifer den Beispiel-Code als Vorlage für weiter entwickelte Angriffe verwendet haben.

Für einige Modelle hatte Cisco bereits zwei Monate vor dem Advisory Fixes ausgerollt. Daher könnten einige Nutzer bereits gegen das Leck geschützt sein. Doch die NCC Group habe weitere Angriffsvektoren in betroffenen Systemen entdeckt. Daher hatte Cisco nun Anwender im Verlauf der Woche ermahnt, auf neue Versionen zu aktualisieren.

Auch seien dabei auch noch weitere verwundbare ASA-Features und Konfigurationen ans Licht gekommen. In einer Tabelle listet Cisco daher Konfigurationen für Features, die verwundbar sind: Adaptive Security Device Manager, AnyConnect IKEv2 Remote Access, AnyConnect IKEv2 Remote Access, AnyConnect SSL VPN [6], Cisco Security Manager, Clientless SSL VPN, Cut-Through Proxy, Local Certificate Authority, Mobile Device Manager Proxy, Mobile User Security Proxy Bypass, REST API, und das Security Assertion Markup Language Single Sign-On.

Darüber hinaus seien auch die Firepower Security Appliance 4120, 4140 und 4150 sowie FTD Virtual verwundbar.

[mit Material von Liam Tung, ZDNet.com [7]]

Artikel von ZDNet.de: http://www.zdnet.de

URL zum Artikel: http://www.zdnet.de/88325675/kritisches-leck-in-cisco-sicherheitsloesung-asa-von-hackern-ausgenutzt/

URLs in this post:

[1] CVE-2018-0101: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1

[2] das für das Leck die höchste CVSS-Wertung mit 10 ausgibt: http://www.zdnet.de/88325425/cisco-warnt-vor-kritischem-vpn-bug-in-seiner-asa-software/

[3] Image: http://www.zdnet.de/wp-content/uploads/2017/08/Cisco-2017-1200.jpg

[4] 120 Seiten starke Analyse: https://www.nccgroup.trust/globalassets/newsroom/uk/events/2018/02/reconbrx2018-robin-hood-vs-cisco-asa.pdf

[5] Proof-of-Concept: https://pastebin.com/YrBcG2Ln

[6] VPN: http://www.zdnet.de/themen/vpn/

[7] ZDNet.com: http://www.zdnet.com/article/cisco-severe-bug-in-our-security-appliances-is-now-under-attack/