2018-0209: Cisco Adaptive Security Appliance (ASA): Eine Schwachstelle ermöglicht u.a. die komplette Kompromittierung betroffener Geräte

Historie:

Version 1 (2018-01-30 12:32)

Neues Advisory

Version 2 (2018-01-31 12:00)

Cisco aktualisiert den Sicherheitshinweis zur Schwachstelle CVE-2018-0101 in der Cisco ASA Software hinsichtlich der zur Ausnutzung der Schwachstelle notwendigen Voraussetzungen. Cisco ASA Software ist verwundbar, wenn das 'webvpn'-Feature global aktiviert ist. Zusätzlich muss in der Konfiguration ein Interface über 'enable [Interfacename]' aktiviert sein. Darüber hinaus kann die Schwachstelle nur ausgenutzt werden, wenn ein 'listen socket' für SSL und DTLS auf TCP-Port 443 vorhanden ist. Weitere Hinweise zur Identifikation betroffener Systeme werden im Sicherheitshinweis unter 'Affected Products > Vulnerable Products > ASA Software' gegeben.

Version 3 (2018-02-06 10:56)

Cisco aktualisiert den referenzierten Sicherheitshinweis, da durch weitere Untersuchungen der bereits veröffentlichten Schwachstelle zusätzliche Angriffsvektoren und betroffene Features identifiziert wurden. Außerdem wurde festgestellt, dass die veröffentlichten Sicherheitsupdates die Schwachstelle nicht vollständig beheben, weshalb aktualisierte Sicherheitsupdates bereitgestellt werden. Das ASA-Sicherheitsupdate 9.1.7.20 wird durch die Version 9.1.7.23 ersetzt, 9.2.4.25 durch Version 9.2.4.27, 9.4.4.14 durch Version 9.4.4.16, 9.6.3.20 durch Version 9.6.4.3, 9.7.1.16 durch Version 9.7.1.21 und 9.8.2.14 durch Version 9.8.2.20. Lediglich die Version 9.9.1.2 der ASA-Software leibt als Sicherheitsupdate unverändert bestehen. Weiterhin werden jetzt auch die Cisco Firepower Threat Defense (FTD) Software Versionen 6.0.0, 6.0.1, 6.1.0, 6.2.0 und 6.2.1 als verwundbar benannt und Hotfixes bereitgestellt. Eine entsprechende List mit Hotfixes und betroffenen Hardware Plattformen findet sich im Security Advisory Abschnitt 'FTD Software'.

Version 4 (2018-02-07 18:54)

Cisco korrigiert den referenzierten Sicherheitshinweis hinsichtlich der Konfigurationsvoraussetzungen für das MUS Feature und verdeutlicht nochmals die verwundbare FTD Konfiguration, welche das Ausnutzen der Schwachstelle erlaubt. Ferner weist das PSIRT darauf hin, dass bereits versucht wurde die Schwachstelle auszunutzen.

Version 5 (2018-05-18 17:21)

Cisco aktualisiert die referenzierte Sicherheitsmeldung erneut und benennt jetzt explizit die ASA-Software Versionen 9.9.1 (statt 9.9) und 9.9.2 als verwundbar und stellt neben der Versionen 9.9.1.2 jetzt auch die Version 9.9.2.1 als Sicherheitsupdate zur Verfügung.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe speziell präparierter XML-Pakete, die an ein 'webvpn'-Interface betroffener Cisco Adaptive Security Appliance (ASA)-Geräte gesendet werden, beliebigen Programmcode auf dem Gerät zur Ausführung bringen, das Gerät komplett kompromittieren oder einen Neustart des Geräts erzwingen.

Laut Hersteller ist die Schwachstelle zwar öffentlich bekannt, wird aber nicht aktiv ausgenutzt. Betroffen sind alle Versionen der Versionszweige 8.x und 9.0 bis 9.9 mit aktivierter 'webvpn'-Funktionalität. Der Hersteller weist darauf hin, dass ASA-Software vor Version 9.1 und in den Versionszweigen 9.3 und 9.5 nicht mehr mit Updates versorgt wird. Benutzer der Software werden angewiesen, auf die nicht verwundbaren Versionen der jeweils höheren Versionszweige zu migrieren. Dies sind 9.1.7.20, 9.4.4.14 und 9.6.3.20. Die Versionen 9.2.4.25, 9.7.1.16, 9.8.2.14 und 9.9.1.2 stehen ebenfalls als Sicherheitsupdate zur Verfügung.

Darüber hinaus ist die Cisco Firepower Threat Defense (FTD) Software ab Version 6.2.2 verwundbar, da auch hier der ASA-Programmcode eingesetzt wird. Es stehen zwei Hotfixes zur Behebung der Schwachstelle zur Verfügung, von denen einer speziell für Cisco Firepower 2100 Series Security Appliances entwickelt wurde.

Schwachstellen:

CVE-2018-0101

Schwachstelle in Cisco Adaptive Security Appliance Software ermöglicht u.a. Übernahme der Kontrolle

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.