2. Update: Kritische Sicherheitslücke in Cisco ASA Software - Patches verfügbar

11. Februar 2016

Update 11. Februar 2016 16:40

2. Update 16. Februar 2016

Beschreibung

Cisco hat ein Advisory zu einer kritischen Sicherheitslücke in Cisco ASA veröffentlicht. Die Lücke befindet sich im Code, der für den Internet Key Exchange (IKE) zuständig ist, und erlaubt es einem nicht authentifizierten Angreifer, durch ein speziell gestaltetes UDP-Paket, Code auf dem betroffenen Gerät auszuführen.

CVE-Nummer: CVE-2016-1287

Auswirkungen

Durch Ausnützen dieser Lücke kann ein Angreifer laut Cisco die Kontrolle über betroffene Systeme übernehmen.
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Da die Lücke nun bekannt ist, ist damit zu rechnen, dass versucht werden wird diese auszunützen.

Update 11. Februar 2016

In einem Blog-Beitrag auf exodusintel.com wird detailliert beschrieben, wie die Schwachstelle ausgenützt werden kann, und es wird anscheinend bereits aktiv nach verwundbaren Systemen gescannt.

Betroffene Systeme

Folgende Cisco ASA-Systeme sind von der Lücke betroffen:
  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)
  • Cisco Firepower 9300 ASA Security Module
  • Cisco ISA 3000 Industrial Security Appliance
Damit die Schwachstelle für einen Angreifer ausnutzbar ist, muss die ASA als Endpunkt für IKE1 oder IKE2 VPN-Verbindungen konfiguriert sein. Das inkludiert folgende VPN-Konfigurationen:
  • LAN-to-LAN IPsec VPN
  • Remote access VPN using the IPsec VPN client
  • Layer 2 Tunneling Protocol (L2TP)-over-IPsec VPN connections
  • IKEv2 AnyConnect
Nicht betroffen sind Systeme, die ausschliesslich zum Terminieren folgender VPN-Verbindungen konfiguriert sind:
  • Clientless SSL
  • AnyConnect SSL
Ob die laufende Konfiguration anfällig ist lässt sich - vorausgesetzt, dass für zumindest ein Interface eine Crypto Map konfiguriert ist - mit folgendem Befehl herausfinden: 
show running-config crypto map | include interface
Liefert das Kommando einen Output, wie etwa 
crypto map outside_map interface outside
ist die aktuelle Konfiguration verwundbar.

Abhilfe

Einspielen der von Cisco zur Verfügung gestellten Updates.

2. Update 16. Februar 2016

Laut einem Bericht auf heise Security ist bei älteren, nicht mehr unterstützten Releases von Cisco ASA ein Update auf eine aktuelle Version unter Umständen erst nach einem RAM-Upgrade möglich. Für ASA Release 8.2 hat Cisco am 13.2. noch eine sog. Interim Version veröffentlicht, ein Update auf eine aktuelle Version der Software wird jedoch, wie auch für die anderen veralteten ASA-Releases, 7.2, 8.3, 8.5, und 8.6, empfohlen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Cisco Security Advisory (englisch)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike
Exodus Intelligence Blog (englisch)
https://blog.exodusintel.com/2016/02/10/firewall-hacking/
InfoSec Handlers Diary Blog (englisch)
https://isc.sans.edu/diary/Critical+Cisco+ASA+IKEv2v2+Vulnerability.+Active+Scanning+Detected/20719
Artikel auf heise Security
http://www.heise.de/security/meldung/Vermehrte-Scans-und-Workarounds-zu-Ciscos-ASA-Luecke-3100443.html
Cisco ASA 8.2.5 Interim Build Release Notes (englisch)
http://www.cisco.com/web/software/280775065/45357/ASA-825-Interim-Release-Notes.html