Internet-Sicherheit: Auch Cisco mit Poodle-Problemen

Ausgerechnet Firewalls und Load-Balancing-Erweiterungen des Netzwerkgeräte-Herstellers pfuschen bei der Umsetzung von TLS - und werden damit ebenfalls anfällig für Poodle-Angriffe auf die Verschlüsselung.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
Auch Cisco mit Poodle-Problemen

(Bild: Cisco)

Lesezeit: 2 Min.

Eine Verwundbarkeit wegen "unsauberem Block-Cipher-Padding bei TLSv1 mit CBC" – technisch korrekt aber sehr verklausuliert beschreibt Cisco eine soeben bekannt gemachte Schwachstelle in bestimmten Cisco-Geräten. Im Klartext: Die betroffenen Systeme machen den gleichen Fehler wie schon die Load Balancer von F5 und A 10 Networks und sind damit anfällig für Poodle-Angriffe, selbst wenn das veraltetete SSLv3 abgeschaltet ist.

Bei der Block-Verschlüsselung müssen die zu verschlüsselnden Daten immer auf ganze Blocks bestimmter Länge aufgefüllt werden. TLS schreibt genau vor, wie das zu geschehen hat und der Empfänger muss das eigentlich auch checken. Geschieht das nicht, kann ein Angreifer als Man-in-the-Middle das sogenannte Padding mit beliebigen Daten auffüllen und so letztlich die Nutz-Daten am Anfang des Blocks durch Ausprobieren erraten. Genau diese Checks führen die betroffenen Cisco-Geräte nicht durch – ähnlich wie auch die Load Balancer von F5 und A 10.

Bei den anfälligen Komponenten handelt es sich keineswegs um irgendwelche zugekauften Exoten. Betroffen sind laut der Cisco Sicherheitsnotiz zur SSL-TLS Implementations Cipher Block Chaining Padding Information Disclosure Vulnerability die Cisco Adaptive Security Appliance Software (ASA) und das Application Control Engine Moudle (ACE). Unter ASA fimiert Ciscos Firewall- und Netzwerksicherheits-Plattform; die ACE kommt auf Cisco-Routern und -Switches als Load-Balancing-Erweiterung zum Einsatz.

Den Begriff Poodle oder einen anderen allgemein verständlichen Hinweis darauf, dass es sich um diese bereits bekannte Lücke handelt, sucht man im Cisco-Advisory übrigens vergeblich. Lediglich der Schwachstellen-Bezeichner CVE-2014-8730 bestätigt, dass Cisco in der Tat der gleiche Fauxpas unterlaufen ist wie der Konkurrenz. Ein Schelm, wer jetzt böses denkt. (ju)