DFN-CERT

Advisory-Archiv

2016-1528: Cisco IOS, IOS XE, IOS XR: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2016-09-19 13:28)
Neues Advisory
Version 2 (2016-09-21 14:38)
Cisco aktualisiert den referenzierten Sicherheitshinweis bezüglich der verwundbaren Cisco IOS und Cisco IOS XE Versionen. Für Cisco IOS XE steht eine neue Tabelle zur Verfügung, die angibt, welche Versionen der Software verwundbar sind. Bisher werden die Versionen 3.1SG, 3.2SE, 3.2SG, 3.2SQ, 3.2XO, 3.3SE, 3.3SQ, 3.4SQ und 3.5SQ als nicht verwundbar genannt. Die ursprünglich aufgeführte Liste mit verwundbaren Versionen von Cisco IOS ist durch den Cisco IOS and IOS XE Software Checker ersetzt worden, der auch über einen direkten Link erreichbar ist. Hier muss die verwendete Versionsnummer eingetragen werden, die sich beispielsweise über den 'show version' Kommandozeilenbefehl in Erfahrung bringen lässt. Versionsnummern von Cisco IOS sind von der Form 'A.B(C)D' angegeben, wobei 'A.B' die Punktversionsnummer der Software ist, '(C)' inklusive Klammern die Wartungsversion (Maintenance Version) als Ganzzahl angibt und 'D' als Buchstabenkombination angibt, dass die Softwareversion eine Erweiterung der Punktversion darstellt. Für einige der bisher genannten Cisco IOS Versionen finden sich mit dem Werkzeug bereits Sicherheitsupdates für die Schwachstelle, für andere Versionen muss der Cisco Support kontaktiert werden. Bei Verwendung des Werkzeugs sind keine Platzhalter zugelassen. Insbesondere führen Eingaben von der Form 'A.BD' (ohne Angabe des Maintenance Release), wie sie in der Tabelle im Sicherheitshinweis zu finden sind, nicht zum gesuchten Ergebnis. Cisco stellt außerdem klar, dass Cisco Geräte angreifbar sind, die mit einer verwundbaren Cisco IOS Software oder Cisco IOS XE Software Version betrieben werden, wenn sie für die Nutzung von IKEv1 *oder* IKEv2 konfiguriert sind.
Version 3 (2023-05-19 19:00)
Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen, da diese aktiv ausgenutzt wird.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Eine Schwachstelle in der IKEv1-Datenpaketverarbeitung von Cisco IOS, Cisco IOS XE und Cisco IOS XR ermöglicht einem Angreifer aus der Ferne durch den Versand speziell präparierter IKEv1-Datenpakete an ein für IKEv1-Datenverkehr konfiguriertes Gerät, Speicherinhalte abzurufen und damit vertrauliche Informationen auszuspähen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Cisco bestätigt die Schwachstelle, welche bei Untersuchungen des 'BENIGNCERTAIN'-Exploits der 'Shadow Broker Group' entdeckt wurde und informiert, dass die Untersuchung zur Betroffenheit einzelner Cisco Produkte noch nicht abgeschlossen ist. Die Ergebnisse der Untersuchungen werden über die referenzierte Sicherheitsmeldung veröffentlicht. Zur Unterstützung der Analyse, ob vom Kunden eine betroffene Software genutzt wird, plant Cisco eine Aktualisierung des Cisco IOS Software Checkers entsprechend den Untersuchungsergebnissen.

Sicherheitsupdates sind derzeit noch nicht verfügbar, werden von Cisco aber angekündigt.

Cisco informiert weiterhin darüber, dass die PIX-Firewall in den Versionen 6.x und früher ebenfalls von der Schwachstelle betroffen ist, die PIX-Version 7.0 und später sind nicht verwundbar. Für die PIX-Firewall werden keine Sicherheitsupdates bereitgestellt, da der Software-Support für dieses Produkt bereits 2009 eingestellt wurde. Nutzern betroffener Versionen wird aufgrund der durch die 'Shadow Broker Group' öffentlich publizierten Exploits dringend geraten auf eine nicht verwundbare Version zu aktualisieren.

Die Produkte Cisco ASA 5500 und Cisco ASA 5500-X Series Adaptive Security Appliance werden von Cisco als nicht betroffen ausgewiesen.

Über die folgenden Signaturen ist ein Versuch die Schwachstelle auszunutzen detektierbar: Cisco IPS Signatur 7699-0 und Snort SIDs 40220(1), 40221(1) und 40222(1).

Schwachstellen:

CVE-2016-6415

Schwachstelle in Cisco IOS, IOS XE und IOS XR ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.