Cisco: Zwei VPN-Lücken und eine Schwachstelle, die offiziell keine ist
Cisco hat Sicherheitslücken im AnyConnect-VPN und auf seinen ASA-Firewalls gestopft. Ein Sicherheitsproblem mit dem SMI-Protokoll, welches es aus der Ferne erlaubt, neue Betriebssystem-Images auf Switches zu laden, sieht die Firma allerdings nicht.
- Fabian A. Scherschel
Der Netzwerk-Hersteller Cisco hat mit mehreren Sicherheitslücken in seiner VPN-Software und im Router- bzw. Switch-Betriebssystem IOS zu kämpfen. Von den VPN-Lücken sind ASA-Firewalls und die AnyConnect-Software auf Windows betroffen. Außerdem können Geräte, die das Smart-Install-Protokoll (SMI) der Firma verwenden, darüber ohne Anmeldung am System umkonfiguriert oder neu installiert werden. Für AnyConnect und die ASA-Firewalls gibt es Software-Updates; die SMI-Lücke wird wohl ungepatcht bleiben, das Cisco sie nicht als Sicherheitslücke ansieht.
Angreifbare VPN-Software
Die Client-Software für Ciscos AnyConnect VPN kann unter Windows missbraucht werden, um einen Internet-Explorer-Prozess mit System-Rechten zu öffnen. So kann sich ein lokaler Angreifer auf dem System Admin-Rechte verschaffen. Dazu muss das "Cisco AnyConnect Start Before Login Module" aktiviert sein – was in der Standard-Konfiguration der Fall ist. Laut Cisco sind die Windows-Versionen 4.0 bis 4.3 des VPN-Clients betroffen. Die Updates 4.3.05017 und 4.4.00243 sollen die Lücke schließen.
Auch mehrere Bauarten der ASA-Firewalls haben Probleme mit VPN-Verbindungen. Durch eine Schwachstelle in der Implementierung des Common Internet Filesystem (CIFS) kann ein Angreifer aus der Ferne Speicherfehler hervorrufen und das Gerät lahmlegen. Unter Umständen ist es laut Cisco auch möglich, Schadcode auszuführen. Betroffen ist die folgende Cisco-Hardware:
- ASA 5500 Series Adaptive Security Appliance
- ASA 5500-X Series Next-Generation Firewall
- Adaptive Security Virtual Appliance (ASAv)
- ASA for Firepower 9300 Series
- ASA for Firepower 4100 Series
- ISA 3000 Industrial Security Appliance
It's not a bug, it's...
Ein drittes Problem beschreibt der Netzwerkhersteller in einer ausführlichen Security Response, will aber keine Updates dazu herausbringen. Das liegt darin begründet, dass Cisco abstreitet, dass es sich um eine Sicherheitslücke handelt. Admins, die auf Cisco-Switches SMI einsetzen, sollten wissen, dass Angreifer von außerhalb des Netzes ohne sich anmelden zu müssen neue IOS-Images auf die Geräte spielen können. Außerdem können sie administrative Kommandozeilenbefehle verwenden, um die Geräte umzukonfigurieren.
Cisco betont, dass diese Funktionen ausdrücklich Teil des SMI-Protokolls seien. Eine Authentifizierung sei nicht vorgesehen. Um Angriffe zu vermeiden, empfiehlt der Hersteller, das Protokoll zu deaktivieren oder mit Access Control Lists (ACLs) zu beschränken. SMI wird oft dafür verwendet, Switches in Firmenniederlassungen aus der Ferne zu administrieren. Laut Cisco ist es aber nicht dafür gedacht, im täglichen Betrieb aktiv zu sein. (fab)
