Vermehrte Scans und Workarounds zu Ciscos ASA-Lücke

Nachdem Cisco Updates veröffentlicht hat, die eine kritische Lücke in der IKE-Implementierung ihrer ASA-Firewalls schließen, nimmt die Zahl der Scans nach möglicherweise verwundbaren System rapide zu. Kein Wunder, ist doch ein öffentlich verfügbarer Exploit nur eine Frage der Zeit. Betroffene Admins sollten also möglichst schnell reagieren. Doch das ist offenbar nicht immer ganz so einfach.

Das Problem ist vor allem deshalb so dramatisch, weil es Millionen verwundbarer Systeme gibt und viele davon schon sehr lange ihren Dienst tun. Denn Cisco stellt zwar im Prinzip Updates für alle betroffenen Systeme bereit. Doch die lassen sich vor allem auf älteren Systemen nicht ohne weiteres installieren. So haben sich die RAM-Anforderungen mit dem ASA-8.3-Upgrade mal eben verdoppelt oder sogar vervierfacht. Damit benötigen viele Geräte mit der Basis-Ausstattung erst einmal ein RAM-Upgrade, um auf ein Firmware-Relase zu kommen, für das es die Security-Updates gibt.

Workarounds

Cisco nennt zwar keine Workarounds, aber man kann sich durchaus behelfen. Zunächst sind gemäß dem Advisory nur Systeme anfällig, die als IPSec/IKE-Endpunkt fungieren. Man kann also temporär die VPN-Funktion stilllegen beziehungsweise auf einer vorgelagerten Firewall blockieren, um sich zu schützen. Stack8 beschreibt eine Möglichkeit, mit ASA Control Plane ACLs den Zugriff auf das verwundbare IKE auf bekannte Hosts zu begrenzen.

In der Security-Community wird derweil diskutiert, ob die detaillierte Beschreibung in Execute my Packet gerechtfertigt ist. Dort erklären die Entdecker von Exodus Intel en Detail, wie sich der Fehler ausnutzen lässt, um ein System zu kapern. Einerseits erleichtert das natürlich den Bau gefährlicher Exploits. Andererseits steht die Befürchtung im Raum, dass dieses kritische Sicherheitsloch ohne diese Informationen als reines Denial-of-Service-Problem eingestuft worden wäre. (ju)