2. Update: Kritische Sicherheitslücke in Cisco ASA Software - Patches verfügbar
Beschreibung
Cisco hat ein Advisory zu einer kritischen Sicherheitslücke in Cisco ASA veröffentlicht. Die Lücke befindet sich im Code, der für den Internet Key Exchange (IKE) zuständig ist, und erlaubt es einem nicht authentifizierten Angreifer, durch ein speziell gestaltetes UDP-Paket, Code auf dem betroffenen Gerät auszuführen.CVE-Nummer: CVE-2016-1287
Auswirkungen
Durch Ausnützen dieser Lücke kann ein Angreifer laut Cisco die Kontrolle über betroffene Systeme übernehmen.Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.
Da die Lücke nun bekannt ist, ist damit zu rechnen, dass versucht werden wird diese auszunützen.
In einem Blog-Beitrag auf exodusintel.com wird detailliert beschrieben, wie die Schwachstelle ausgenützt werden kann, und es wird anscheinend bereits aktiv nach verwundbaren Systemen gescannt.
Betroffene Systeme
Folgende Cisco ASA-Systeme sind von der Lücke betroffen:- Cisco ASA 5500 Series Adaptive Security Appliances
- Cisco ASA 5500-X Series Next-Generation Firewalls
- Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
- Cisco ASA 1000V Cloud Firewall
- Cisco Adaptive Security Virtual Appliance (ASAv)
- Cisco Firepower 9300 ASA Security Module
- Cisco ISA 3000 Industrial Security Appliance
- LAN-to-LAN IPsec VPN
- Remote access VPN using the IPsec VPN client
- Layer 2 Tunneling Protocol (L2TP)-over-IPsec VPN connections
- IKEv2 AnyConnect
- Clientless SSL
- AnyConnect SSL
Liefert das Kommando einen Output, wie etwashow running-config crypto map | include interface
ist die aktuelle Konfiguration verwundbar.crypto map outside_map interface outside
Abhilfe
Einspielen der von Cisco zur Verfügung gestellten Updates.
Laut einem Bericht auf heise Security ist bei älteren, nicht mehr unterstützten Releases von Cisco ASA ein Update auf eine aktuelle Version unter Umständen erst nach einem RAM-Upgrade möglich. Für ASA Release 8.2 hat Cisco am 13.2. noch eine sog. Interim Version veröffentlicht, ein Update auf eine aktuelle Version der Software wird jedoch, wie auch für die anderen veralteten ASA-Releases, 7.2, 8.3, 8.5, und 8.6, empfohlen.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Cisco Security Advisory (englisch)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike
Exodus Intelligence Blog (englisch)
https://blog.exodusintel.com/2016/02/10/firewall-hacking/
InfoSec Handlers Diary Blog (englisch)
https://isc.sans.edu/diary/Critical+Cisco+ASA+IKEv2v2+Vulnerability.+Active+Scanning+Detected/20719
Artikel auf heise Security
http://www.heise.de/security/meldung/Vermehrte-Scans-und-Workarounds-zu-Ciscos-ASA-Luecke-3100443.html
Cisco ASA 8.2.5 Interim Build Release Notes (englisch)
http://www.cisco.com/web/software/280775065/45357/ASA-825-Interim-Release-Notes.html