11. Februar 2016 pi/Rudolf Felser

Kritische Sicherheitslücke in Cisco ASA

CERT.at warnt vor der Sicherheitslücke CVE-2016-1287 in Cisco ASA, die es Angreifern erlaubt, Code auf dem betroffenen Gerät auszuführen. [...]

Wie das Computer Emergency Response Team Austria berichtet, hat Cisco ein Advisory zu einer kritischen Sicherheitslücke in Cisco ASA veröffentlicht. Die Lücke befindet sich im Code, der für den Internet Key Exchange (IKE) zuständig ist, und erlaubt es einem nicht authentifizierten Angreifer, durch ein speziell gestaltetes UDP-Paket, Code auf dem betroffenen Gerät auszuführen.

Durch Ausnützen dieser Lücke kann ein Angreifer laut Cisco die Kontrolle über betroffene Systeme übernehmen.
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

In einem Blog-Beitrag auf exodusintel.com wird detailliert beschrieben, wie die Schwachstelle ausgenützt werden kann, und es wird anscheinend bereits aktiv nach verwundbaren Systemen gescannt.

Folgende Cisco ASA-Systeme sind von der Lücke betroffen:

  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)
  • Cisco Firepower 9300 ASA Security Module
  • Cisco ISA 3000 Industrial Security Appliance

Damit die Schwachstelle für einen Angreifer ausnutzbar ist, muss die ASA als Endpunkt für IKE1 oder IKE2 VPN-Verbindungen konfiguriert sein. Das inkludiert die folgenden VPN-Konfigurationen: LAN-to-LAN IPsec VPN, Remote access VPN using the IPsec VPN client, Layer 2 Tunneling Protocol (L2TP)-over-IPsec VPN connections sowie IKEv2 AnyConnect.

Nicht betroffen sind den Angaben zufolge Systeme, die ausschließlich zum Terminieren von Clientless-SSL- sowie AnyConnect-SSL-VPN-Verbindungen konfiguriert sind.

Ob die laufende Konfiguration anfällig ist lässt sich laut CERT.at mit folgendem Befehl herausfinden – vorausgesetzt, dass für zumindest ein Interface eine Crypto Map konfiguriert ist:

show running-config crypto map | include interface

Liefert das Kommando einen Output, wie etwa

crypto map outside_map interface outside

ist die aktuelle Konfiguration verwundbar.

Abhilfe verspricht das Einspielen der von Cisco zur Verfügung gestellten Updates. (pi)


Mehr Artikel

Frank Schwaak, Field CTO EMEA bei Rubrik (c) Rubrik
Kommentar

Der Paradigmenwechsel in der Abwehr von Cyberangriffen

3. Januar 2025 Frank Schwaak*

Für Unternehmen stellt sich heute nicht mehr die Frage, ob oder wann sie Ziel eines Cyberangriffs werden, sondern wie oft: Die Bedrohungslage in Österreich hat sich verschärft – Angriffe auf die Unternehmensnetzwerke und wertvolle Daten sind zur neuen Normalität geworden. Daher müssen Unternehmen ihre Sicherheitskonzept neu ausrichten – in Form einer umfassenderen Cyber-Resilienz-Strategie. […]

News

Das große TV-Abc

3. Januar 2025 Daniel Bader *

Bildqualität, Ausstattung, Bedienung und Design sind beim Fernsehkauf matchentscheidend. Wir erklären die wichtigsten Fachbegriffe von A wie „App-Shop“ bis Z wie „Zoll“ und verraten, was beim Kauf wirklich zählt. […]

News

Das Tempo zieht an: Technologietrends 2025

3. Januar 2025 Ravi Bindra *

In einer Welt, die sich mit atemberaubender Geschwindigkeit verändert, steht der Technologiesektor vor einem entscheidenden Wendepunkt. Das Jahr 2024 erlebte den Übergang von KI-Experimenten zur alltäglichen Anwendung, doch 2025 wird uns vor eine noch größere Herausforderung stellen: die Balance zwischen rasanter Innovation und robuster Sicherheit. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*