Cisco beseitigt Sicherheitslücken in AnyConnect-VPN und ASA-Firewalls

Cisco hat Sicherheitswarnungen für den AnyConnect Secure Mobility Client für Windows und die ASA-Software bestimmter Firewall-Produkte des Unternehmens veröffentlicht. Eine von Forschern gemeldete Schwachstelle im Smart Install Protocol des Switch-Betriebssystems IOS, die das Einschleusen von Betriebssystem-Images erlauben soll, sieht das Unternehmen jedoch nicht als solche an.

Die Lücke in der ASA-Software betrifft auch die Firewall Cisco Firepower 4100 (Bild: Cisco).Ciscos VPN-Client AnyConnect erlaubt es einem Angreifer unter Umständen, den Microsoft-Browser Internet Explorer mit Systemrechten zu öffnen. Der Fehler im Modul Start Before Logon beruht auf einer unzureichenden Implementierung der Zugangskontrollen. Betroffene Nutzer sollten auf die aktuellen Versionen 4.4.00243 oder 4.3.05017 umsteigen.

Eine unzureichende Prüfung von Nutzereingaben in die SSL-VPN-Funktion der Cisco ASA Software kann indes aus der Ferne ausgenutzt werden, um einen Heap-Überlauf auszulösen. Unter Umständen ist laut Cisco auch das Ausführen von Schadcode möglich. Ein Angreifer muss jedoch über gültige Anmeldeinformationen für das Clientless SSL VPN Portal verfügen.

Betroffen sind allerdings nur Systeme, die im Routed Firewall-Modus betrieben werden. Zudem muss eine gültige TCP-Verbindung bestehen. Anfällig sind unter anderem die ASA 5500 Series Adaptive Security Appliances, die ASA 5500-x Series Next-Generation Firewalls, die Adaptive Security Virtual Appliance, die ASA for Firepower 9300 und 4100 Series sowie die ISA 3000 Industrial Appliance.

Der Fehler wurde nun in den ASA-Versionen 9.1 (7.13), 9.4 (4) und 9.6 (2.10) behoben. Nutzer von ASA 9.0, 9.2, 9.3 und 9.5 müssen jeweils auf ein neueres Release umsteigen. Das Release 9.7 ist nach Herstellerangaben nicht betroffen.

Das Smart Install Protocol, dass der Installation von Betriebssystem-Images auf Cisco-Switches dient, wird von Sicherheitsforschern kritisiert, weil es auf jegliche Authentifizierung verzichtet. Wie Mitarbeiter von Tenable, Trustwave und Digital Security feststellten, kann diese Funktion benutzt werden, um Switches manipulierte IOS-Images unterzuschieben. Cisco selbst räumt zwar einen möglichen Missbrauch ein, beharrt aber in einem Advisory darauf, dass es sich um eine beabsichtigte Funktion handelt.

„Cisco Smart Install ist ein ‚Plug-and-play‘ Konfigurations- und Image-Management-Feature, das die Implementierung neuer Switches ohne Nutzereingriff erlaubt“, teilt das Unternehmen mit. „Das Feature erlaubt es Kunden, einen Cisco-Switch an jeden beliebigen Standort zu liefern und ihn ohne jede weitere Konfiguration im Netzwerk zu installieren und zu betreiben.“

Loading ...

Der neue Switch erhalte automatisch von einem als Smart Install Director bezeichneten Switch oder Router das richtige IOS-Image und die Konfigurationsdatei. Der Director vergebe zudem eine IP-Adresse und den Hostnamen des Clients. „Das Smart-Install-Feature ist ab Werk bei Client-Switches aktiviert. Die Client Switches müssen nicht konfiguriert werden.“

Cisco empfiehlt jedoch, Smart Install nicht im täglichen Betrieb zu aktivieren. Kunden, die das Protokoll nicht benötigten, sollten es deaktivieren. Zudem könne der Zugriff auf das Feature mit Access Control Lists eingeschränkt werden.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft meldet 115 Millionen täglich aktive Nutzer für Teams

Die Zahl erhöht sich in sechs Monaten um 40 Millionen. Seit Mitte März kommen sogar…

8 Minuten ago

Zertifikatsfehler: macOS X Catalina stuft HP-Druckertreiber als schädlich ein

Apple zieht das Zertifikat des Druckertreibers ohne Angaben von Gründen zurück. Betroffen ist auch macOS…

2 Stunden ago

Update für Windows 10 entfernt Adobe Flash Player

Es steht bisher nur im Microsoft Update Catalog zum Download bereit. Die in den Microsoft-Browsern…

3 Stunden ago

AMD stellt RDNA2-Grafikkarten-Generation RX 6000 vor

AMDs jüngste Grafikkarten-Generation basiert auf der RDNA2-Architektur. Den Anfang machen die Radeon RX 6800, RX…

11 Stunden ago

Ugreen-USB-C-Netzteile mit 65 Watt ausprobiert

Dank Support von Programmable Power Supply (PPS) sind die beiden Ugreen-Modelle besonders gut für das…

16 Stunden ago

LobbyControl: Facebook und Co. legen Mitgliedschaften offen

Die zunehmende Bedeutung der Lobbyarbeit von Digitalkonzernen in Europa spiegelt sich in deren Lobbyausgaben wider.…

19 Stunden ago