Eine Schwachstelle in der Verarbeitung von digitalen Zerifikaten des Cisco Security Monitoring, Analysis and Response System (CS-MARS) sowie dem Cisco Adaptive Security Device Manager (ASDM) kann zur Kompromittierung der Vertrauensbeziehungen zwischen den zuliefernden Systemen und CS-MARS/ASDM führen.

Betroffene Systeme

• CS-MARS-Versionen vor 4.2.3
• ASDM-Versionen vor 5.2(2.54) sofern der ASDM Launcher (stand-alone-Version von ASDM) verwendet wird.

Nicht betroffene Systeme

• CS-MARS 4.2.3 (2403)
• ASDM 5.2(2.54)

Einfallstor
Per Zertifikat abgesicherte Kommunikation mit CS-MARS bzw ASDM. Dies ist i.A. die Kommunikation, die von Sensoren und anderen Systemen initiiert wird, wenn sie Daten zur Korrelation an CS-MARS oder ASDM schicken.

Auswirkung
Unterschieben beliebiger Information in die Auswertung und Korrelation von CS-MARS oder ASDM

Typ der Verwundbarkeit
Designfehler
(design flaw)

Gefahrenpotential

(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Das Netzwerk-Überwachungswerkzeug Cisco Security Monitoring, Analysys and Response System (CS-MARS) sammelt Log- und Konfigurationsdaten von verschiedenen Netzwerkkomponenten und korreliert diese zur Überwachung der Leistung und Sicherheit. CS-MARS kann automatisch Aktionen zur Linderung von Sicherheitsproblemen durchführen.

Der Cisco Adaptive Security Device Manager (ASDM) ist ebenfalls ein Werkzeug zur Sammlung und Korrelation von Log- und Konfigurationsdaten insbesondere von Cisco Security Appliances und PIX-Firewalls.

Beschreibung
Eine Schwachstelle in der Verarbeitung von digitalen Zerifikaten von CS-MARS und ASDM kann zur Kompromittierung der Vertrauensbeziehungen zwischen den zuliefernden Systemen und CS-MARS führen. Bei Aufbau einer Kommunikationsverbindung überprüft CS-MARS nicht die Authentizität des Zertifikates seines Kommunikationspartners, so dass ein Angreifer über eine Netzwerkverbindung die Identität eines zuliefernden Systems (z.B. eines Intrusion Detection Systems) vortäuschen und gefälschte Daten übermitteln kann. Insbesondere in Angriffsszenarien, in denen die Verschleierung von durch Sensoren des CS-MARS beobachtbaren Aktionen von Bedeutung ist, ist die Ausnutzung dieser Schwachstelle anwendbar.

Gegenmaßnahmen

• Installation von CS-MARS 4.2.3 (2403)
• Installation von ASDM 5.2(2.54)

Vulnerability ID

• CVE-2007-0397
• Cisco BugID CSCsf95930 (nur für registrierte Cisco-Kunden)
• Cisco BugID CSCsg78595 (nur für registrierte Cisco-Kunden)

Revisionen dieser Meldung

• V 1.0: Als Kurzmeldung veröffentlicht (2007-01-19)
• V 1.1: Zur Vollmeldung erweitert (2007-01-19)
• V 1.2: CVE-Namen hinzugefügt (2007-01-22)

Weitere Artikel zu diesem Thema:

• [Cisco/CS-MARS] Mehrere Schwachstellen in CS-MARS (2006-07-20)
  Das Cisco Security Monitoring and Response System (CS-MARS) hat mehrere Schwachstellen, die unter anderem die Ausführung beliebigen Shell-Codes durch einen unauthentifizierten Angreifer über die Web-Schnittstelle der Applikation ermöglichen. Weiterhin ist bei Betrieb von CS-MARS in der voreingestellten Konfiguration das unberechtigte Auslesen von Netzwerkkonfigurationsdaten und Logs aus der zugrundeliegenden Datenbank möglich, was insbesondere bei gespeicherten Authentifizierungsdaten z.B. aktiver Netzwerkkomponenten zu weiteren Kompromittierungen führen kann. Schließlich können diverse Schwachstellen in der Shellumgebung CLI des CS-MARS dazu ausgenutzt werden, beliebigen Programmcode mit administrativen Privilegien auf dem beherbergenden Rechnersystem auszuführen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/