Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1465

[Cisco/PIX,ASA] Schwachstellen in Cisco PIX und Cisco ASA
(2008-06-05 07:44:43.580085+00)

Quelle: http://archive.cert.uni-stuttgart.de/bugtraq/2008/06/msg00036.html

Mehrere Schwachstellen in Ciscos PIX Security Appliance und der ASA Series 5500 Adaptive Security Appliance können von einem Angreifer dazu ausgenutzt werden, die Systeme in einen unbenutzbaren Zustand zu versetzen oder die mittels einer Access Control List (ACL) konfigurierte Filterfunktion der Produkte zu umgehen und so unerlaubt Zugriff auf die betroffenen Systeme zu erlangen.

Inhalt

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor

Angriffsvoraussetzung

Angriffsvektorklasse

Auswirkung

Typ der Verwundbarkeit

Gefahrenpotential


(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  • CVE-2008-2055:
    Eine Schwachstelle in der TCP-Implementierung der o.g. betroffenen Systeme kann von einem Angreifer durch das Senden einer speziell formulierten ACK-Nachricht im Rahmen des TCP-Handshakes dazu ausgenutzt werden, das beherbergende System zum Absturz zu bringen und es zum Neustart zu veranlassen. Im Rahmen eines wiederholten Angriffes kann dies zum dauerhaften Ausfall des Systems und damit der Netzwerkanbindung des durch dieses versorgten Netzwerkes führen.

  • CVE-2008-2056:
    Eine Schwachstelle in der TLS-Implementierung der o.g.betroffenen Systeme kann von einem Angreifer dazu ausgenutzt werden, das beherbergende System zum Absturz zu bringen und neu zu booten. Im Rahmen eines wiederholten Angriffes kann dies zum dauerhaften Ausfall des Systems und damit der Netzwerkanbindung des durch dieses versorgten Netzwerkes führen.

    Die folgenden Applikationen auf PIX- und ASA-Systemen verwenden TLS:

    1. Der HTTPS-Server für WebVPN-, SSL VPN- und AnyConnect-Verbindungen kann je nach Konfiguration auf einem beliebigen Interface gestartet werden. Sofern dies das outside interface ist, kann dieser Angriff aus dem Netz außerhalb des durch das betroffene System geschützten Netz erfolgen. Dabei müssen jedoch stets Pakete an das betroffene System selbst geschickt werden. Diese Dienste werden mittels des "webvpn" Kommandos aktiviert.
    2. Der HTTP-Server für ASDM-Verbindungen kann je nach Konfiguration auf einem beliebigen Interface gestartet werden. Sofern dies das outside interface ist, kann dieser Angriff aus dem Netz außerhalb des durch das betroffene System geschützten Netz erfolgen. Dabei müssen jedoch stets Pakete an das betroffene System selbst geschickt werden. Diese Dienste werden mittels des "http server" Kommandos aktiviert.
    3. Der cut-through proxy wird verwendet, um Benutzer zu authentifizieren, bevor sie auf das Netzwerk zugreifen dürfen. Bei der Verarbeitung der entsprechenden Kommandos, die der Angreifer an den eingebauten HTTPS-Server sendet, tritt der Fehler auf. Je nach Konfiguration kann dieser Dienst auf einem beliebigen Interface des betroffenen Systems angeboten werden.
    4. Der TLS Proxy for Encrypted Voice Inspection ist ein Dienst, der die Untersuchung verschlüsselten Signalisierungsverkehrs im Rahmen einer VoIP-Sitzung erlaubt. Dabei werden die entsprechenden Pakete entschlüsselt, untersucht, eine Entscheidung über ihre Zulässigkeit getroffen, wieder verschlüsselt und weitergeleitet. Bei der Entschlüsselung entsprechenden Verkehrs tritt die Schwachstelle auf.

  • CVE-2008-2057:
    Eine Schwachstelle in der Instant Messenger (IM) inspection engine der o.g.betroffenen Systeme kann von einem Angreifer durch das Senden einer entsprechenden Instant Messenger Nachricht dazu ausgenutzt werden, das betroffene System zum Absturz zu bringen und es zum Neustart zu veranlassen. Im Rahmen eines wiederholten Angriffes kann dies zum dauerhaften Ausfall des Systems und damit der Netzwerkanbindung des durch dieses versorgten Netzwerkes führen.

  • CVE-2008-2058:
    Eine nicht näher beschriebene Schwachstelle, die sich offenbar ebenfalls in der TLS- oder HTTPS-Implementierung befindet, kann von einem Angreifer durch den Einsatz eines HTTPS-Scanners (Portscanner) dazu ausgenutzt werden, das betroffene System zum Absturz zu bringen und es zum Neustart zu veranlassen. Im Rahmen eines wiederholten Angriffes kann dies zum dauerhaften Ausfall des Systems und damit der Netzwerkanbindung des durch dieses versorgten Netzwerkes führen.

  • CVE-2008-2059:
    Eine Schwachstelle in der Implementierung der Control-plane Access Control Lists, die zum Schutz der Firewall selbst dienen, können unter bestimmten, nicht näher definierten Umständen nicht funktional sein und das betroffene Gerät damit nicht schützen. Ein Angreifer ist in dieser Situation in der Lage, die in den Control-plane Access Control Lists definierten Regeln zu umgehen und Verkehr ungefiltert an das betroffene Gerät zu senden.
  • Gegenmaßnahmen

    Cisco stellt aktualisierte Software zur Verfügung:

    Vulnerability ID

    (og)

    Hinweis
    Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

    Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


    https://cert.uni-stuttgart.de/ticker/article.php?mid=1465