[Cisco/CS-MARS,ASDM] Schwachstelle in der Zertifikatverarbeitung
(2007-01-19 15:09:33.793971+00)
Quelle:
http://www.cisco.com/warp/public/707/cisco-sa-20070118-certs.shtmlEine Schwachstelle in der Verarbeitung von digitalen Zerifikaten des Cisco Security Monitoring, Analysis and Response System (CS-MARS) sowie dem Cisco Adaptive Security Device Manager (ASDM) kann zur Kompromittierung der Vertrauensbeziehungen zwischen den zuliefernden Systemen und CS-MARS/ASDM führen.
Betroffene Systeme
- CS-MARS-Versionen vor 4.2.3
- ASDM-Versionen vor 5.2(2.54) sofern der ASDM Launcher (stand-alone-Version von ASDM) verwendet wird.
Nicht betroffene Systeme
- CS-MARS 4.2.3 (2403)
- ASDM 5.2(2.54)
Einfallstor
Per Zertifikat abgesicherte Kommunikation mit CS-MARS bzw ASDM. Dies
ist i.A. die Kommunikation, die von Sensoren und anderen Systemen
initiiert wird, wenn sie Daten zur Korrelation an CS-MARS oder ASDM schicken.
Auswirkung
Unterschieben beliebiger Information in die Auswertung und Korrelation
von CS-MARS oder ASDM
Typ der Verwundbarkeit
Designfehler
(design flaw)
Gefahrenpotential
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Kontext
Das Netzwerk-Überwachungswerkzeug
Cisco Security Monitoring, Analysys and Response System
(CS-MARS)
sammelt Log- und Konfigurationsdaten von
verschiedenen Netzwerkkomponenten und korreliert diese zur Überwachung
der Leistung und Sicherheit. CS-MARS kann automatisch Aktionen zur
Linderung von Sicherheitsproblemen durchführen.
Der Cisco Adaptive Security Device Manager (ASDM) ist ebenfalls ein Werkzeug zur Sammlung und Korrelation von Log- und Konfigurationsdaten insbesondere von Cisco Security Appliances und PIX-Firewalls.
Beschreibung
Eine Schwachstelle in der Verarbeitung von digitalen Zerifikaten von
CS-MARS und ASDM
kann zur Kompromittierung der Vertrauensbeziehungen zwischen den
zuliefernden Systemen und CS-MARS führen. Bei Aufbau einer
Kommunikationsverbindung überprüft CS-MARS nicht die Authentizität des
Zertifikates seines Kommunikationspartners, so dass ein Angreifer über
eine Netzwerkverbindung die Identität eines zuliefernden Systems (z.B.
eines Intrusion
Detection Systems)
vortäuschen und gefälschte Daten übermitteln kann. Insbesondere in
Angriffsszenarien, in denen die Verschleierung von durch Sensoren des
CS-MARS beobachtbaren Aktionen von Bedeutung ist, ist die Ausnutzung
dieser Schwachstelle anwendbar.
Gegenmaßnahmen
- Installation von CS-MARS 4.2.3 (2403)
- Installation von ASDM 5.2(2.54)
Vulnerability ID
- CVE-2007-0397
- Cisco BugID CSCsf95930 (nur für registrierte Cisco-Kunden)
- Cisco BugID CSCsg78595 (nur für registrierte Cisco-Kunden)
Revisionen dieser Meldung
- V 1.0: Als Kurzmeldung veröffentlicht (2007-01-19)
- V 1.1: Zur Vollmeldung erweitert (2007-01-19)
- V 1.2: CVE-Namen hinzugefügt (2007-01-22)
Weitere Artikel zu diesem Thema:
- [Cisco/CS-MARS] Mehrere Schwachstellen in CS-MARS (2006-07-20)
Das Cisco Security Monitoring and Response System (CS-MARS) hat mehrere Schwachstellen, die unter anderem die Ausführung beliebigen Shell-Codes durch einen unauthentifizierten Angreifer über die Web-Schnittstelle der Applikation ermöglichen. Weiterhin ist bei Betrieb von CS-MARS in der voreingestellten Konfiguration das unberechtigte Auslesen von Netzwerkkonfigurationsdaten und Logs aus der zugrundeliegenden Datenbank möglich, was insbesondere bei gespeicherten Authentifizierungsdaten z.B. aktiver Netzwerkkomponenten zu weiteren Kompromittierungen führen kann. Schließlich können diverse Schwachstellen in der Shellumgebung CLI des CS-MARS dazu ausgenutzt werden, beliebigen Programmcode mit administrativen Privilegien auf dem beherbergenden Rechnersystem auszuführen.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1348