Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1483

[Cisco/PIX,ASA] Mehrere Schwachstellen in Cisco PIX und ASA
(2008-10-22 18:57:27.458141+00) Druckversion

Quelle: http://archive.cert.uni-stuttgart.de/bugtraq/2008/10/msg00171.html

Mehrere Schwachstellen in den Cisco ASA 5500 sowie PIX Security Appliances können von einem Angreifer dazu ausgenutzt werden, über eine Netzwerkverbindung unautorisiert auf das jeweilige Gerät zuzugreifen sowie es in einen unbenutzbaren Zustand zu versetzen.

Inhalt

Betroffene Systeme

  • CVE-2008-3815:
    Alle Cisco ASA und PIX Geräte, die den administrativen Zugang über eine Windows NT Domäne authentifizieren.
  • CVE-2008-3816:
    Cisco ASA und PIX Appliances der Versionen 7.2(4)9 oder 7.2(4)10, die für die Verarbeitung von IPv6-Verkehr konfiguriert sind
  • CVE-2008-3817:
    Cisco ASA Appliances der Versionen 8.0.x

Nicht betroffene Systeme

  • CVE-2008-3815:
    Cisco ASA und PIX Geräte, die den administrativen Zugang nicht über eine Windows NT Domäne authentifizieren.
  • CVE-2008-3816:
    Cisco ASA und PIX Appliances, die nicht für IPv6 konfiguriert sind
  • CVE-2008-3817:
    • Cisco ASA Appliances der Versionen 7.0, 7.1 und 7.2
    • Cisco PIX Appliances

Einfallstor

  • CVE-2008-3815:
    Windows NT Domänen-Authentifizierung
  • CVE-2008-3816:
    speziell präparierte IPv6-Pakete
  • CVE-2008-3817:
    speziell präparierte IP-Pakete

Angriffsvoraussetzung

  • CVE-2008-3815:
    Gültige Zugangsdaten zu einer Windows NT Domäne, nicht jedoch Zugangsdaten zur Appliance selbst
    (network group credentials)
  • CVE-2008-3816:
    Möglichkeit, IPv6-Pakete in ein durch die Appliance geschütztes Netz zu senden
    (network)
  • CVE-2008-3817:
    Möglichkeit, Netzwerkverkehr in ein durch die Appliance geschütztes Netz zu senden
    (network)

Angriffsvektorklasse

  • CVE-2008-3815:
    über eine Windows NT Domäne
    (network group)
  • CVE-2008-3816:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2008-3817:
    über eine Netzwerkverbindung
    (remote)

Auswirkung

  • CVE-2008-3815:
    Vollständige administrative Kontrolle über das System
    (system compromise)
  • CVE-2008-3816:
    Versetzen des beherbergenden Systems in einen unbenutzbaren Zustand
    (denial of service)
  • CVE-2008-3817:
    • Versetzen des beherbergenden Systems in einen unbenutzbaren Zustand
      (denial of service)
    • möglicherweise Ausführung beliebigen Programmcodes auf dem beherbergenden System
      (system compromise)

Typ der Verwundbarkeit

  • CVE-2008-3815:
    Entwurfsfehler
    (designflaw)
  • CVE-2008-3816:
    unbekannt
    (unknown)
  • CVE-2008-3817:
    Pufferüberlaufschwachstelle
    (buffer overflow bug)

Gefahrenpotential

  • CVE-2008-3815:
    hoch (bedingt durch die Tatsache, dass ein Angreifer im Besitz eines gültigen Kontos einer NT Domäne sein muss)
  • CVE-2008-3816:
    mittel
  • CVE-2008-3817:
    je nach dem, ob die Schwachstelle auch zur Kompromittierung des beherbergenden Systems ausgenutzt werden kann
    mittel bzw. sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  • CVE-2008-3815:
    In Installationen, in denen der Zugriff auf eine Cisco PIX Security Appliance bzw. einer Adaptive Security Appliance (ASA) mittels IPsec oder einer SSL-VPN-Verbindung von einer Windows NT Domäne aus möglich ist, kann unter bestimmten Umständen die Authentifizierung umgangen werden. Ein Angreifer, der im Besitz eines gültigen Domänenkontos in einer solchen Installation ist, ist so in der Lage, ohne weitere Authentifizierung auf betroffene Appliances zuzugreifen.
  • CVE-2008-3816:
    Eine Schwachstelle in den Routinen zur Verarbeitung von IPv6 kann von einem Angreifer durch das Senden entsprechender Pakete an das durch das System geschützte Netzwerk dazu ausgenutzt werden, ein betroffenes System zum Neustart zu veranlassen, während dessen seine Funktionalität nicht zur Verfügung steht. Wiederholtes Senden solcher Pakete kann zu einer dauerhaften Unterdrückung der durch die PIX bzw. ASA bereitgestellten Dienste ausgenutzt werden, was das System faktisch in einem unbenutzbaren Zustand hält.
  • CVE-2008-3817:
    Eine Pufferüberlaufschwachstelle im Verschlüsselungsbeschleuniger (Crypto Accelerator) betroffener Systeme kann von einem Angreifer durch das Senden entsprechender Pakete an das durch das System geschützte Netzwerk dazu ausgenutzt werden, ein betroffenes System zum Neustart zu veranlassen, während dessen seine Funktionalität nicht zur Verfügung steht. Wiederholtes Senden solcher Pakete kann zu einer dauerhaften Unterdrückung der durch die PIX bzw. ASA bereitgestellten Dienste ausgenutzt werden, was das System faktisch in einem unbenutzbaren Zustand hält.

    Da es sich bei dieser Schwachstelle um eine Pufferüberlaufschwachstelle handelt, kann diese potentiell auch zur Ausführung beliebigen Programmcodes auf dem beherbergenden System ausgenutzt werden. Dies würde in diesem Fall zur Kompromittierung des betroffenen Systems führen.

Gegenmaßnahmen

Vulnerability ID

Revisionen dieser Meldung

  • V 1.0 (2008-10-22)
  • V 1.1 (2008-10-27):
(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.