Cisco schließt Lücken in Sicherheitsprodukten
In den Security-Appliances PIX 500 und ASA 6500 sowie dem Firewall-Service-Modul für Switches und Router wurden Probleme entdeckt, die unter Umständen Denial-of-Service-Angriffe und Erweiterung der Zugriffsrechte ermöglichen.
- Christiane Rütten
Cisco behebt diverse Schwachstellen in seinen Security Applicances der Serien PIX 500 und ASA 5500 sowie im Firewall-Service-Modul für Catalyst-6500-Switches und Router der Serie 7600. Wie aus zwei nun veröffentlichten Advisories des Herstellers hervorgeht, können Angreifer unter Umständen verwundbare Systeme durch manipulierte Netzwerkpakete lahm legen, was gezielte Denial-of-Service-Attacken (DoS) ermöglicht, und sich auf der Management-Konsole erweiterte Zugriffsrechte verschaffen.
In den betroffenen PIX- und ASA-Appliances sind die Inspection-Funktionen für HTTP, SIP und TCP sowie die Fixup-Funktion für SIP fehlerhaft. Verarbeiten sie auf der jeweiligen Protokollebene speziell präparierte Pakete, führt dies unter Umständen zum Neustart des gesamten Systems. Außerdem können sich Angreifer mit Zugang zur Management-Konsole Admin-Rechte (Privilegstufe 15) verschaffen, sofern die Authentifizierungsmethode LOCAL aktiviert und ein Nutzer mit Privilegstufe 0 angelegt wurde. Mit den Software-Versionen 6.3(5.115), 7.0(5.2), 7.1(2.5) und 7.2(2.10) hat Cisco die genannten Probleme nun behoben.
Das Firewall-Service-Modul ist ebenfalls von den Fehlern in der HTTP- und SIP-Inspection sowie dem SIP-Fixup betroffen. Außerdem lässt es sich unter Umständen mit manipulierten HTTPS- und SNMP-Paketen oder bei aktivierter System-Log-Funktion mit Paketen an die IP-Adresse des Moduls zum Absturz bringen. Darüber hinaus führt ein Programmierfehler möglicherweise zu korrupten Zugriffskontrolllisten (ACLs). Die Software-Versionen 2.3(4.12) und 3.1(4) weisen die Probleme nicht mehr auf.
Cisco warnt seine Kunden jedoch vor überstürzten Upgrades. Vor dem Einspielen solle stets sichergestellt werden, dass die neuen Software-Versionen die vorhandene Hard- und Software-Konfiguration auch unterstützt sowie die Geräte über ausreichenden Arbeitsspeicher verfügen. Im Zweifel sollen sich Kunden an das Cisco Technical Assistance Center (TAC) wenden.
Siehe dazu auch:
- Multiple Vulnerabilities in Firewall Services Module, Advisory von Cisco
- Multiple Vulnerabilities in Cisco PIX and ASA Appliances, Advisory von Cisco
(cr)
