Der Hersteller Cisco warnt in dem aktualisierten Advisory CVE-2018-0101, dass Angreifer inzwischen das Leck aktiv ausnutzen. Betroffen sind neben der Adaptive Security Appliance (ASA) auch die Firepower Sicherheits Appliances von Cisco.
In dem Advisory, das für das Leck die höchste CVSS-Wertung mit 10 ausgibt, erklärt Cisco, dass „dem Hersteller Versuche bekannt sind, die in diesem Advisory beschriebene Verwundbarkeit auszunutzen“.
Das Cisco-Advisory wurde wenige Tage vor einem angekündigten detaillierten Report über die Sicherheitslücke veröffentlicht. Ein Sicherheitsexperte der NCC Group sollte auf der Recon-Konferenz in Brüssel erklären, wie sich die Verwundbarkeit ausnutzen lässt. Der bevorstehende Report verstärkte bei Angreifern den Druck, das Leck zu patchen.
Über ein spezielles XML-File nutzt die Attacke einen sieben Jahre alten Fehler im Cisco XML-Parser aus. In der Folge bekommt der Angreifer remote Zugriff auf das angegriffene System. Mit 10 erreicht das Leck die maximale Wertung im CVSS.
Nachdem der NCC-Sicherheitsforscher Cedric Halbron zu Beginn der Woche eine 120 Seiten starke Analyse des Fehlers lieferte, wurde kurze Zeit darauf ein Proof-of-Concept über Pastebin veröffentlicht. Allerdings demonstrierten die Forscher lediglich einen Systemcrash. Dennoch könnten Angreifer den Beispiel-Code als Vorlage für weiter entwickelte Angriffe verwendet haben.
Für einige Modelle hatte Cisco bereits zwei Monate vor dem Advisory Fixes ausgerollt. Daher könnten einige Nutzer bereits gegen das Leck geschützt sein. Doch die NCC Group habe weitere Angriffsvektoren in betroffenen Systemen entdeckt. Daher hatte Cisco nun Anwender im Verlauf der Woche ermahnt, auf neue Versionen zu aktualisieren.
Auch seien dabei auch noch weitere verwundbare ASA-Features und Konfigurationen ans Licht gekommen. In einer Tabelle listet Cisco daher Konfigurationen für Features, die verwundbar sind: Adaptive Security Device Manager, AnyConnect IKEv2 Remote Access, AnyConnect IKEv2 Remote Access, AnyConnect SSL VPN, Cisco Security Manager, Clientless SSL VPN, Cut-Through Proxy, Local Certificate Authority, Mobile Device Manager Proxy, Mobile User Security Proxy Bypass, REST API, und das Security Assertion Markup Language Single Sign-On.
Darüber hinaus seien auch die Firepower Security Appliance 4120, 4140 und 4150 sowie FTD Virtual verwundbar.
[mit Material von Liam Tung, ZDNet.com]
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
