Cisco PIX und ASA anfällig für DoS und unautorisierten Zugriff
Cisco hat Sicherheitslücken in seinen PIX- und ASA-Produkten gemeldet, durch die Angreifer einen Denial-of-Service provozieren oder nicht autorisierten Zugriff auf die Geräte oder das Netzwerk erhalten können.
Der Netzwerkausrüster Cisco hat Sicherheitslücken in seinen PIX- und ASA-Produkten gemeldet, durch die Angreifer einen Denial-of-Service provozieren oder nicht autorisierten Zugriff auf die Geräte oder das Netzwerk erhalten können. Der Hersteller stellt Software-Updates bereit.
Geräte, die zur Authentifizierung einen Server für das Lightweight Directory Access Protocol (LDAP) einsetzen, können durch einen bestimmten, nicht näher erläuterten Verarbeitungspfad unautorisierten Angreifern Zugriff auf das Netzwerk oder sogar auf das Gerät gewähren. Betroffen sind Appliances, die IPSec-Tunnel mit CHAP-, MS-CHAPv1- oder MS-CHAPv2-Authentifizierung bereitstellen und die Berechtigungsprüfung via LDAP vornehmen. Der Zugriff auf die Gerätekonfiguration ist dann möglich, wenn sie Benutzerkonten für die Management-Dienste wie telnet, SSH und HTTP mit einem LDAP-Server verifizieren.
Stellt die Appliance VPN-Endpunkte bereit, können Angreifer einen Denial-of-Service provozieren, wenn die Zugriffspasswörter mit einem Ablaufdatum versehen sind – nach einem erfolgreichen Angriff startet das Gerät neu. Der Fehler betrifft sowohl SSL-VPN-Verbindungen als auch IPSec-VPN, wobei ein Angreifer zum Ausnutzen der Lücke bei IPSec einen gültigen Gruppennamen mitsamt Passwort kennen muss. Weiterhin können Angreifer eine so genannte Race-Condition im SSL-VPN-HTTP-Server ausnutzen, der beim clientlosen SSL-VPN-Betrieb genutzt wird, um ein betroffenes Gerät zum Neustart zu bringen.
Eine weitere DoS-Schwachstelle betrifft die Funktion zur Weiterleitung von DHCP-Anfragen (DHCP-Relay). Erhält eine PIX oder ASA mehrere DHCPACK-Antworten von unterschiedlichen Servern auf DHCPREQUEST- oder DHCPINFORM-Anfragen, kann ein interner Puffer zum Speichern von Ethernet-Frames volllaufen. Danach verwerfen die Geräte weitere Pakete und leiten keinen Verkehr mehr weiter.
Registrierten Benutzern stellt Cisco mit den Versionen 7.1(2)49 und 7.2(2)8, 7.2(2)17 sowie 7.2(2)19 fehlerbereinigte Software zur Verfügung. Die DHCP-Relay-Schachstelle behebt Cisco mit Version 7.2(2.15) und neueren der Betriebssystemsoftware.
Siehe dazu auch:
- LDAP and VPN Vulnerabilities in PIX and ASA Appliances, Sicherheitsmeldung von Cisco
- DHCP Relay Agent Vulnerability in Cisco PIX and ASA Appliances, Fehlermeldung von Cisco
(dmk)
