Categories: FirewallSicherheit

Kritisches Leck in Cisco-Sicherheitslösung ASA von Hackern ausgenutzt

Der Hersteller Cisco warnt in dem aktualisierten Advisory CVE-2018-0101, dass Angreifer inzwischen das Leck aktiv ausnutzen. Betroffen sind neben der Adaptive Security Appliance (ASA) auch die Firepower Sicherheits Appliances von Cisco.

In dem Advisory, das für das Leck die höchste CVSS-Wertung mit 10 ausgibt, erklärt Cisco, dass „dem Hersteller Versuche bekannt sind, die in diesem Advisory beschriebene Verwundbarkeit auszunutzen“.

Das Cisco-Advisory wurde wenige Tage vor einem angekündigten detaillierten Report über die Sicherheitslücke veröffentlicht. Ein Sicherheitsexperte der NCC Group sollte auf der Recon-Konferenz in Brüssel erklären, wie sich die Verwundbarkeit ausnutzen lässt. Der bevorstehende Report verstärkte bei Angreifern den Druck, das Leck zu patchen.

Über ein spezielles XML-File nutzt die Attacke einen sieben Jahre alten Fehler im Cisco XML-Parser aus. In der Folge bekommt der Angreifer remote Zugriff auf das angegriffene System. Mit 10 erreicht das Leck die maximale Wertung im CVSS.

Nachdem der NCC-Sicherheitsforscher Cedric Halbron zu Beginn der Woche eine 120 Seiten starke Analyse des Fehlers lieferte, wurde kurze Zeit darauf ein Proof-of-Concept über Pastebin veröffentlicht. Allerdings demonstrierten die Forscher lediglich einen Systemcrash. Dennoch könnten Angreifer den Beispiel-Code als Vorlage für weiter entwickelte Angriffe verwendet haben.

Für einige Modelle hatte Cisco bereits zwei Monate vor dem Advisory Fixes ausgerollt. Daher könnten einige Nutzer bereits gegen das Leck geschützt sein. Doch die NCC Group habe weitere Angriffsvektoren in betroffenen Systemen entdeckt. Daher hatte Cisco nun Anwender im Verlauf der Woche ermahnt, auf neue Versionen zu aktualisieren.

Auch seien dabei auch noch weitere verwundbare ASA-Features und Konfigurationen ans Licht gekommen. In einer Tabelle listet Cisco daher Konfigurationen für Features, die verwundbar sind: Adaptive Security Device Manager, AnyConnect IKEv2 Remote Access, AnyConnect IKEv2 Remote Access, AnyConnect SSL VPN, Cisco Security Manager, Clientless SSL VPN, Cut-Through Proxy, Local Certificate Authority, Mobile Device Manager Proxy, Mobile User Security Proxy Bypass, REST API, und das Security Assertion Markup Language Single Sign-On.

Darüber hinaus seien auch die Firepower Security Appliance 4120, 4140 und 4150 sowie FTD Virtual verwundbar.

[mit Material von Liam Tung, ZDNet.com]

Martin Schindler

Recent Posts

Supercomputer Hawk mit 11.260 AMD-Prozessoren geht in Betrieb

Das Höchstleistungsrechenzentrum in Stuttgart (HLRS) hat heute offiziell den Supercomputer Hawk in Betrieb genommen. Der Großrechner stammt von Hewlett Packard…

6 Stunden ago

BlackBerry: Automobilindustrie und Einzelhandel sollten sich auf mehr Bedrohungen einstellen

Der Anstieg von Angriffen in der Automobilindustrie werde durch die fortschreitende Vernetzung der PKWs begünstigt. Das ist das Ergebnis des…

8 Stunden ago

Telekom blickt auf ein Rekordjahr zurück

Der Konzern erzielt 2019 einen Umsatz von 80,5 Milliarden Euro, was einem Anstieg gegenüber dem Vorjahr um 6.4 Prozent entspricht.…

8 Stunden ago

Dell will RSA Security an Symphony Technology Group verkaufen

Dieser Schritt soll das Portfolio von Dell vereinfachen und der RSA ermöglichen, sich auf ihre Kernaufgabe im Bereich Sicherheit zu…

15 Stunden ago

Webinar: BlackBerry Intelligent Security – Flexible Sicherheitsrichtlinien für mobiles Arbeiten

Die meisten Unified Endpoint Management Produkte platzieren Richtlinien auf einem Gerät oder in einer Anwendung nach eng umrissenen Vorgaben. Entscheidend…

15 Stunden ago

Deutschland vor Hybrid-Cloud-Welle

Interessant sind die Ergebnisse des Enterprise Cloud Index 2019 für Deutschland. Denn die hiesigen Entwicklungen zeigen: Nicht jede App soll…

16 Stunden ago