Cisco beseitigt Sicherheitslücken in AnyConnect-VPN und ASA-Firewalls

Cisco hat Sicherheitswarnungen für den AnyConnect Secure Mobility Client für Windows und die ASA-Software bestimmter Firewall-Produkte des Unternehmens veröffentlicht. Eine von Forschern gemeldete Schwachstelle im Smart Install Protocol des Switch-Betriebssystems IOS, die das Einschleusen von Betriebssystem-Images erlauben soll, sieht das Unternehmen jedoch nicht als solche an.

Die Lücke in der ASA-Software betrifft auch die Firewall Cisco Firepower 4100 (Bild: Cisco).Ciscos VPN-Client AnyConnect erlaubt es einem Angreifer unter Umständen, den Microsoft-Browser Internet Explorer mit Systemrechten zu öffnen. Der Fehler im Modul Start Before Logon beruht auf einer unzureichenden Implementierung der Zugangskontrollen. Betroffene Nutzer sollten auf die aktuellen Versionen 4.4.00243 oder 4.3.05017 umsteigen.

Eine unzureichende Prüfung von Nutzereingaben in die SSL-VPN-Funktion der Cisco ASA Software kann indes aus der Ferne ausgenutzt werden, um einen Heap-Überlauf auszulösen. Unter Umständen ist laut Cisco auch das Ausführen von Schadcode möglich. Ein Angreifer muss jedoch über gültige Anmeldeinformationen für das Clientless SSL VPN Portal verfügen.

Betroffen sind allerdings nur Systeme, die im Routed Firewall-Modus betrieben werden. Zudem muss eine gültige TCP-Verbindung bestehen. Anfällig sind unter anderem die ASA 5500 Series Adaptive Security Appliances, die ASA 5500-x Series Next-Generation Firewalls, die Adaptive Security Virtual Appliance, die ASA for Firepower 9300 und 4100 Series sowie die ISA 3000 Industrial Appliance.

Der Fehler wurde nun in den ASA-Versionen 9.1 (7.13), 9.4 (4) und 9.6 (2.10) behoben. Nutzer von ASA 9.0, 9.2, 9.3 und 9.5 müssen jeweils auf ein neueres Release umsteigen. Das Release 9.7 ist nach Herstellerangaben nicht betroffen.

Das Smart Install Protocol, dass der Installation von Betriebssystem-Images auf Cisco-Switches dient, wird von Sicherheitsforschern kritisiert, weil es auf jegliche Authentifizierung verzichtet. Wie Mitarbeiter von Tenable, Trustwave und Digital Security feststellten, kann diese Funktion benutzt werden, um Switches manipulierte IOS-Images unterzuschieben. Cisco selbst räumt zwar einen möglichen Missbrauch ein, beharrt aber in einem Advisory darauf, dass es sich um eine beabsichtigte Funktion handelt.

„Cisco Smart Install ist ein ‚Plug-and-play‘ Konfigurations- und Image-Management-Feature, das die Implementierung neuer Switches ohne Nutzereingriff erlaubt“, teilt das Unternehmen mit. „Das Feature erlaubt es Kunden, einen Cisco-Switch an jeden beliebigen Standort zu liefern und ihn ohne jede weitere Konfiguration im Netzwerk zu installieren und zu betreiben.“

Der neue Switch erhalte automatisch von einem als Smart Install Director bezeichneten Switch oder Router das richtige IOS-Image und die Konfigurationsdatei. Der Director vergebe zudem eine IP-Adresse und den Hostnamen des Clients. „Das Smart-Install-Feature ist ab Werk bei Client-Switches aktiviert. Die Client Switches müssen nicht konfiguriert werden.“

Cisco empfiehlt jedoch, Smart Install nicht im täglichen Betrieb zu aktivieren. Kunden, die das Protokoll nicht benötigten, sollten es deaktivieren. Zudem könne der Zugriff auf das Feature mit Access Control Lists eingeschränkt werden.