Cisco warnt vor kritischem VPN-Bug in seiner ASA-Software

Cisco hat ein Sicherheitsupdate für seine Firewall-Software Adaptive Security Applicance veröffentlicht. Es enthält einen weiteren Patch für eine als kritisch eingestufte Anfälligkeit in der VPN-Funktion. Forscher des Unternehmens entdeckten demnach neue Möglichkeiten, den Fehler auszunutzen, die durch vorherige Patches nicht beseitigt wurden.

Bei dem Bug handelt es sich um eine sogenannte Double-Free-Schwachstelle im Secure-Sockets-Layer-Protokoll. Ein nicht authentifizierter Benutzer kann aus der Ferne einen Neustart eines ungepatchten Systems auslösen oder Schadcode einschleusen und ausführen. Der Angriff selbst erfolgt über speziell gestaltete XML-Pakete. Der Angreifer erhält anschließend die vollständige Kontrolle über das System.

Ende Januar hatte Cisco seine Kunden über die mit 10 von 10 möglichen Punkten des Common Vulnerability Scoring System (CVSS) bewertete Schwachstelle informiert. Zu dem Zeitpunkt standen bereits Patches zur Verfügung, zum Teil schon seit mehr als zwei Monaten. Da ein Sicherheitsforscher alle Details des Bugs offenlegen wollte, machte Cisco den bis dahin geheim gehaltenen Fehler öffentlicht und forderte seine Kunden auf, alle verfügbaren Sicherheitsupdates einzuspielen.

Der neue Patch muss nun zusätzlich installiert werden. Administratoren, die in der vergangenen Woche auf Ciscos Warnung reagiert haben, müssen also nun erneut ihre Systeme aktualisieren. Cisco weist allerdings darauf hin, dass der am vergangenen Wochenende vorgestellte Angriff des Sicherheitsforschers Cedric Halbronn, der die Lücke zuerst entdeckt hatte, mit den ursprünglichen Patches abgewehrt wird. Die Angriffe, die Cisco-Forscher im Nachhinein entdeckten und die erst jetzt gepatcht wurden, seien noch nicht öffentlich bekannt.

„Nachdem wir unsere Untersuchungen ausgeweitet hatten, fanden Cisco-Forscher andere Angriffsvektoren und Funktionen, die von dieser Anfälligkeit betroffen sind und die ursprünglich nicht von Halbronn erkannt wurden“, schreibt Omar Santos, Principal Engineer von Ciscos Product Security Incident Response Team, in einem Blogeintrag. Man habe festgestellt, dass die ursprünglichen Patches anfällig für weitere Denial-of-Service-Angriffe seien. Deswegen sei nun der neue umfassende Fix für die Cisco-ASA-Plattformen veröffentlicht worden.

Betroffen sind dem überarbeiteten Security Advisory zufolge ASA-Systeme, bei denen Secure Sockets Layer für IKEv2 Remote Access VPN aktiviert wurde. Zudem ist neben der ASA-Software auch die Firepower-Threat-Defense-Software anfällig. Weitere Informationen finden sich in dem Vortrag, den Halbronn am vergangenen Wochenende gehalten hat.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.