zurück zum Artikel

Eine große Zahl von Firewalls kann durch die Verarbeitung von bösartigen Paketen zum Sicherheitsrisiko werden. Angreifer können ungepatchte Geräte aus der Ferne komplett übernehmen.

Die Software der Adaptive Security Appliance (ASA) von Cisco enthält eine kritische Sicherheitslücke [1] (CVE-2016-1287), mit dem Angreifer Schadcode in manipulierte Pakete verpacken und so auf dem Gerät ausführen lassen können. Damit kann der Angreifer eine Firewall komplett übernehmen. Cisco hat einen Patch für die Geräte bereitgestellt, den Administratoren dringend einspielen sollten. Die Sicherheitslücke hat von Cisco nach dem CVSS-Score die höchstmögliche Gefahrenstufe von 10 erhalten.

[Update: Der für die Lücke verantwortliche Fehler findet sich im Internet Key Exchange (IKE) Version 1 und 2, der eine gesicherte IPSec-Verbindung initiiert. Dieser Schlüsselaustausch findet via UDP-Port 500 statt; sowohl IPv4 als auch IPv6 können zum Einsatz kommen. Konkret betroffen sind demnach nur ASA-Systeme, die als VPN-Endpunkt mit IPSec eingesetzt werden. Reine SSL-VPNs sind nicht anfällig.\]

Angriffe auf Firmen-VPNs

Das SANS Institut berichtet, dass die Lücke bereits aktiv ausgenutzt wird [2]. Man habe gesteigerten UDP-Traffic auf Port 500 festgestellt, was darauf zurückgehe, dass Angreifer versuchen, verwundbare Firewalls zu attackieren.

Laut Cisco sind folgende Produkte betroffen:

• ASA 5500 Series Adaptive Security Appliance
• ASA 5500-X Series Next-Generation Firewall
• ASA Services Module for Cisco Catalyst 6500 Series Switches
• Cisco 7600 Series Router
• ASA 1000V Cloud Firewall
• Adaptive Security Virtual Appliance (ASAv)
• Firepower 9300 ASA Security Module
• ISA 3000 Industrial Security Appliance

Schickt man diesen Geräten entsprechend präparierte Pakete [3], werden diese bei der Verarbeitung so in den Speicher geschrieben, dass der Angreifer einen Pufferüberlauf im Heap ausnutzen kann, um seinen Schadcode in einem Bereich des Speichers zu platzieren, der anschließend ausgeführt wird. Ein Angreifer kann so einen besonders kritischen Teil der Netzwerkinfrastruktur kapern und von dort aus tiefer in das Netz vordringen. Da die Cisco Firewall als VPN-Server per Design dem Datenverkehr von außen ausgesetzt ist, hilft nur das Einspielen des entsprechenden Patches auf dem Gerät, um das Netz abzusichern.

Update 12:30 12.2.2016: Details zur Natur der Lücke nachgetragen (fab [4])

URL dieses Artikels:
https://www.heise.de/-3099910

Links in diesem Artikel:
[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike
[2] https://isc.sans.edu/diary/Critical+Cisco+ASA+IKEv2v2+Vulnerability.+Active+Scanning+Detected/20719
[3] https://blog.exodusintel.com/2016/02/10/firewall-hacking/
[4] mailto:contact@fab.industries

Copyright © 2016 Heise Medien