Cisco beseitigt Sicherheitslücken in AnyConnect-VPN und ASA-Firewalls

Cisco hat Sicherheitswarnungen für den AnyConnect Secure Mobility Client für Windows und die ASA-Software bestimmter Firewall-Produkte des Unternehmens veröffentlicht. Eine von Forschern gemeldete Schwachstelle im Smart Install Protocol des Switch-Betriebssystems IOS, die das Einschleusen von Betriebssystem-Images erlauben soll, sieht das Unternehmen jedoch nicht als solche an.

Die Lücke in der ASA-Software betrifft auch die Firewall Cisco Firepower 4100 (Bild: Cisco).Ciscos VPN-Client AnyConnect erlaubt es einem Angreifer unter Umständen, den Microsoft-Browser Internet Explorer mit Systemrechten zu öffnen. Der Fehler im Modul Start Before Logon beruht auf einer unzureichenden Implementierung der Zugangskontrollen. Betroffene Nutzer sollten auf die aktuellen Versionen 4.4.00243 oder 4.3.05017 umsteigen.

Eine unzureichende Prüfung von Nutzereingaben in die SSL-VPN-Funktion der Cisco ASA Software kann indes aus der Ferne ausgenutzt werden, um einen Heap-Überlauf auszulösen. Unter Umständen ist laut Cisco auch das Ausführen von Schadcode möglich. Ein Angreifer muss jedoch über gültige Anmeldeinformationen für das Clientless SSL VPN Portal verfügen.

Betroffen sind allerdings nur Systeme, die im Routed Firewall-Modus betrieben werden. Zudem muss eine gültige TCP-Verbindung bestehen. Anfällig sind unter anderem die ASA 5500 Series Adaptive Security Appliances, die ASA 5500-x Series Next-Generation Firewalls, die Adaptive Security Virtual Appliance, die ASA for Firepower 9300 und 4100 Series sowie die ISA 3000 Industrial Appliance.

Der Fehler wurde nun in den ASA-Versionen 9.1 (7.13), 9.4 (4) und 9.6 (2.10) behoben. Nutzer von ASA 9.0, 9.2, 9.3 und 9.5 müssen jeweils auf ein neueres Release umsteigen. Das Release 9.7 ist nach Herstellerangaben nicht betroffen.

Das Smart Install Protocol, dass der Installation von Betriebssystem-Images auf Cisco-Switches dient, wird von Sicherheitsforschern kritisiert, weil es auf jegliche Authentifizierung verzichtet. Wie Mitarbeiter von Tenable, Trustwave und Digital Security feststellten, kann diese Funktion benutzt werden, um Switches manipulierte IOS-Images unterzuschieben. Cisco selbst räumt zwar einen möglichen Missbrauch ein, beharrt aber in einem Advisory darauf, dass es sich um eine beabsichtigte Funktion handelt.

„Cisco Smart Install ist ein ‚Plug-and-play‘ Konfigurations- und Image-Management-Feature, das die Implementierung neuer Switches ohne Nutzereingriff erlaubt“, teilt das Unternehmen mit. „Das Feature erlaubt es Kunden, einen Cisco-Switch an jeden beliebigen Standort zu liefern und ihn ohne jede weitere Konfiguration im Netzwerk zu installieren und zu betreiben.“

Loading ...

Der neue Switch erhalte automatisch von einem als Smart Install Director bezeichneten Switch oder Router das richtige IOS-Image und die Konfigurationsdatei. Der Director vergebe zudem eine IP-Adresse und den Hostnamen des Clients. „Das Smart-Install-Feature ist ab Werk bei Client-Switches aktiviert. Die Client Switches müssen nicht konfiguriert werden.“

Cisco empfiehlt jedoch, Smart Install nicht im täglichen Betrieb zu aktivieren. Kunden, die das Protokoll nicht benötigten, sollten es deaktivieren. Zudem könne der Zugriff auf das Feature mit Access Control Lists eingeschränkt werden.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

4 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

8 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

8 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

9 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

9 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

11 Stunden ago