Mehrere DoS-Lücken in Ciscos ASA
Im Betriebssystem für einige Netzwerkgeräte hat Cisco Lücken gefunden, die zu Denial-of-Service-Angriffen ausgenutzt werden könnten. Auch die Firewalls mancher Switches und Router sind betroffen.
- Christian Kirsch
Der Netzwerkausrüster Cisco meldet vier Lücken in seiner ASA-Software (Adaptive Security Appliance), die allesamt DoS-Angriffe ermöglichten. Betroffen sind die Modelle ASA 5500, Switches der Serie 6500 und Router der Serie 7600 sowie die 1000V Cloud Firewall. Auch die nicht mehr mit Updates versorgten älteren PIX-Geräte seien anfällig – deren Anwender sollten auf neue Hardware umsteigen.
Auslöser für die Fehler können manipulierte IKE-Nachrichten (CVE-2013-1149), URLs (CVE-2013-1150) oder Zertifikate (CVE-2013-1151) sein. Ein weiterer Bug steckt in der DNS-Implementierung: Spezielle DNS-Nachrichten könnten einen Neustart des Geräts auslösen (CVE-2013-1152). Die einzelnen Schwachstellen haben CVSS-Werte zwischen 7.1 und 7.8, der höchste mögliche Wert ist 10.
Korrigierte ASA-Software gibt es für die Versionen ab 7.2. Darauf muss mindestens aktualisieren, wer noch 7.0 nutzt. Bei ASA 8.1 ist der Umstieg auf 8.2 nötig, bei 8.5 auf 9.x. Bei einigen der Updates handelt es sich um Interims-Varianten, Kunden sollten deshalb auch im gleichnamigen Tab auf der Download-Seite nachsehen, rät Cisco.
Die Firewall-Software FWSM der 6500er-Switches und 7600er-Router ist ebenfalls vom IKE-Fehler und einem weiteren betroffen (CVE-2013-1155), der zum Neustart des Geräts missbraucht werden kann.
Exploits der Lücken seien Cisco noch nicht bekannt, alle Fehler habe man durch Support-Anfragen von Kunden entdeckt.
Update 22.4. 12:10: Im Text hieß es ursprünglich, Updates gebe es nur für Kunden mit Wartungsverträgen. Das tritt nicht zu. (ck)
