Categories: FirewallSicherheit

Kritisches Leck in Cisco-Sicherheitslösung ASA von Hackern ausgenutzt

Der Hersteller Cisco warnt in dem aktualisierten Advisory CVE-2018-0101, dass Angreifer inzwischen das Leck aktiv ausnutzen. Betroffen sind neben der Adaptive Security Appliance (ASA) auch die Firepower Sicherheits Appliances von Cisco.

In dem Advisory, das für das Leck die höchste CVSS-Wertung mit 10 ausgibt, erklärt Cisco, dass „dem Hersteller Versuche bekannt sind, die in diesem Advisory beschriebene Verwundbarkeit auszunutzen“.

Das Cisco-Advisory wurde wenige Tage vor einem angekündigten detaillierten Report über die Sicherheitslücke veröffentlicht. Ein Sicherheitsexperte der NCC Group sollte auf der Recon-Konferenz in Brüssel erklären, wie sich die Verwundbarkeit ausnutzen lässt. Der bevorstehende Report verstärkte bei Angreifern den Druck, das Leck zu patchen.

Über ein spezielles XML-File nutzt die Attacke einen sieben Jahre alten Fehler im Cisco XML-Parser aus. In der Folge bekommt der Angreifer remote Zugriff auf das angegriffene System. Mit 10 erreicht das Leck die maximale Wertung im CVSS.

Nachdem der NCC-Sicherheitsforscher Cedric Halbron zu Beginn der Woche eine 120 Seiten starke Analyse des Fehlers lieferte, wurde kurze Zeit darauf ein Proof-of-Concept über Pastebin veröffentlicht. Allerdings demonstrierten die Forscher lediglich einen Systemcrash. Dennoch könnten Angreifer den Beispiel-Code als Vorlage für weiter entwickelte Angriffe verwendet haben.

Für einige Modelle hatte Cisco bereits zwei Monate vor dem Advisory Fixes ausgerollt. Daher könnten einige Nutzer bereits gegen das Leck geschützt sein. Doch die NCC Group habe weitere Angriffsvektoren in betroffenen Systemen entdeckt. Daher hatte Cisco nun Anwender im Verlauf der Woche ermahnt, auf neue Versionen zu aktualisieren.

Auch seien dabei auch noch weitere verwundbare ASA-Features und Konfigurationen ans Licht gekommen. In einer Tabelle listet Cisco daher Konfigurationen für Features, die verwundbar sind: Adaptive Security Device Manager, AnyConnect IKEv2 Remote Access, AnyConnect IKEv2 Remote Access, AnyConnect SSL VPN, Cisco Security Manager, Clientless SSL VPN, Cut-Through Proxy, Local Certificate Authority, Mobile Device Manager Proxy, Mobile User Security Proxy Bypass, REST API, und das Security Assertion Markup Language Single Sign-On.

Darüber hinaus seien auch die Firepower Security Appliance 4120, 4140 und 4150 sowie FTD Virtual verwundbar.

[mit Material von Liam Tung, ZDNet.com]

Martin Schindler

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago