Präparierte IP-Pakete legen Cisco-Geräte lahm

Der Netzwerkausrüster Cisco hat Sicherheitslücken in den PIX-Appliances der 500er-Serie und in den Adaptive-Security-Appliances (ASA) der 5500er-Reihe entdeckt, die Angreifer für Denial-of-Service-Angriffe ausnutzen können. Außerdem warnt der Hersteller, dass die Application-Velocity-Systeme (AVS) mit älteren Softwareversionen bei der Einrichtung den Administrator nicht zum Setzen eines neuen Passwortes zwingen.

Cisco erläutert in einer Sicherheitsmeldung, dass die PIX- und ASA-Appliances beim Verarbeiten von IP-Paketen, die die Option zum Herabsetzen der Time-to-Live (TTL) gesetzt haben, derartig außer Tritt geraten können, dass die Geräte neu starten. Durch einen Dauerbeschuss mit solchen Paketen können Angreifer einen längeren Denial-of-Service-Angriff auf die Geräte starten.

Die Webanwendungsbeschleuniger und zugehörigen Managementkonsolen mit dem Namen Application Velocity System (AVS) des Herstellers bringen ein Standardpasswort mit, dessen Änderung ältere Systemsoftwareversionen bei der Einrichtung der Geräte nicht erzwingen. Dadurch können sich Angreifer vollständigen Zugang zu Geräten verschaffen, auf denen das Passwort nicht neu gesetzt wurde. Betroffen sind die Produkte AVS 3110, 3120, 3180 und 3180A.

In den Sicherheitsmeldungen verlinkt Cisco aktualisierte Software, die die Probleme beseitigen soll. Die AVS-Software 5.10 verlangt beim ersten Login nach dem Einspielen nach der Änderung der Systempasswörter. Die Softwareversionen 7.2(3)6 und 8.0(3) und nachfolgende für die ASA- und PIX-Appliances kommen auch mit IP-Paketen mit aktivierter TTL-Decrement-Option zurecht. Administratoren sollten die Updates so bald wie möglich einspielen und die Passwörter auf den AVS-Produkten ändern.

Siehe dazu auch:

• Cisco PIX and ASA Time-to-Live Vulnerability, Sicherheitsmeldung von Cisco
• Default Passwords in the Application Velocity System, Fehlerbericht von Cisco

(dmk)