Eine Schwachstelle in den AAA-Implementierungen CiscoSecure Access Control Server (ACS) for Windows und Cisco Secure ACS Solution Engine der Version 3.3.1 führt dazu, daß die Produkte bei der Authentifizierung eines Benutzers über Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) ein beliebiges kryptographisch korrektes Zertifikat akzeptieren.

Betroffene Systeme

• Cisco Secure ACS for Windows Version 3.3.1
• Cisco Secure ACS Solution Engine Version 3.3.1

Einfallstor
Authetifizierung über EAP-TLS

Auswirkung
Authentifizierung als beliebiger gültiger Benutzer mittels eines kryptographisch korrekten Zertifikates über eine Netzwerkverbindung
(remote user compromise

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
hoch bis sehr hoch, abhängig davon, ob sich auch Benutzer mit administrativen Privilegien über das ACS authentifizieren können.
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Der Cisco Secure Access Control Server ist ein System, das AAA-Dienste (Authentifizierung, Autorisierung, Abrechnung) anbietet. Sie werden üblicherweise in größeren Umgebungen als zentraler AAA-Dienst eingesetzt, bei denen Benutzer nach Authentifizierung und Autorisierung durch einen Secure ACS Ressourcen auch anderer Server in Anspruch nehmen können.

Ein kryptographisch korrektes Zertifikat ist nach Definition von Cisco ein Zertifikat, dessen Format syntaktisch korrekt ist und gültige Werte in den Datenfeldern des DN besitzen. Um die Anforderungen der kryptographische Korrektheit zu erfüllen, ist es nicht erforderlich, daß es von einer als vertrauenswürdig eingestuften CA ausgestellt wurde oder daß es noch gültig ist. Auch ein abgelaufenes Zertifikat kann kryptographisch korrekt sein.

Beschreibung
Eine Schwachstelle in Cisco Secure Access Control Server (ACS) for Windows und Cisco Secure ACS Solution Engine der Version 3.3.1 führt dazu, daß die Produkte bei der Authentifizierung eines Benutzers über Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) ein beliebiges kryptographisch korrektes Zertifikat akzeptieren. Das Zertifikat muß dabei lediglich einen gültigen Benutzernamen enthalten und syntaktisch korrekt sein. Es kann abgelaufen sein oder die Signatur einer nicht im Authentifizierungsumfeld als vertrauenswürdig eingestuften CA besitzen. Damit ist es Angreifern möglich, sich mit selbsterstellten Zertifikaten als beliebige reguläre Benutzer gegenüber dem ACS und der durch dieses versorgte Infrastruktur zu authentifizieren.

Abschwächende Faktoren
Die Schwachstelle kann nur dann nicht ausgenutzt werden, wenn der Binärvergleich von Zertifikaten als einzige Authentifizierungsmethode unter EAP-TLS konfiguriert ist.

Gegenmaßnahmen
Cisco stellt Patches zur Behebung der Schwachstelle bereit.

• Cisco Secure ACS for Windows Version 3.3.1: Ersetzen der verwundbaren CSCRL.dll durch eine pached Version
• Cisco Secure ACS Solution Engine Version 3.3.1: Ianstallation des Upgrade Packages CSCef62913-fix-ACSSE-v3.3.1.16.zip, das im Verzeichnis http://www.cisco.com/pcgi-bin/tablebuild.pl/acs-soleng-3des zur Verfügung gestellt wird und die verwundbare Version ersetzt.

Vulnerability ID

• Cisco Bug-ID: CSCef62913

Revisionen dieser Meldung

• V 1.0 als Kurzmeldung veröffentlicht (2004-11-03)
• V 1.1 zur Vollmeldung erweitert (2004-11-03)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/