Ciscos Access Control Server ermöglicht Anmeldung mit beliebigen Zertifikaten
Angreifer können sich mit selbst erstellten Zertifikaten am Secure Access Control Server anmelden, wenn zur Authentifizierung EAP-TLS verwendet wird.
Cisco hat ein Security Advisory veröffentlicht, das auf einen Fehler im Secure Access Control Server (ACS) hinweist. Der Fehler ermöglicht es Angreifern, sich mit beliebigen, syntaktisch einwandfreien Zertifikaten am Netzwerk anzumelden. "Syntaktisch einwandfrei" bedeutet in diesem Zusammenhang, dass das Zertifikat kryptografisch korrekt ist und auch einen Benutzernamen enthält. Das Zertifikat kann aber abgelaufen sein und muss auch nicht von einer gültigen CA unterschrieben sein. Der Fehler tritt nur auf, wenn der Access Control Server zur Authentifizierung Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) verwendet.
Betroffen ist nach Angaben des Herstellers nur 3.3.1 der Windows-Version und die Secure ACS Solution Engine. In der bereitgestellten Version 3.3.2 ist die Schwachstelle behoben, nähere Einzelheiten sind dem Original-Advisory zu entnehmen. Der Fehler tritt zudem nicht auf, wenn EAP-TLS Nutzerzertifikate mit bereits in einem Verzeichnisdienst, etwa LDAP oder Active Directory, hinterlegten Zertifikaten vergleicht.
Ciscos Secure Access Control Server ermöglicht die zentralisierte Verwaltung von Nutzerkonten und die einheitliche Anmeldung an Netzwerken. Zur Authentifizierung nutzt ACS das Protokoll EAP, das verschiedene Methoden unterstützt, beispielsweise Kerberos, One-Time-Pads und Zertifikate. TLS ist in der Lage, die EAP-Kommunikation kryptografisch zu sichern und benutzt ebenfalls Zertifikate.
Siehe dazu auch: (dab)
- Security Advisory von Cisco
