Mehrere Schwachstellen in Ciscos PIX Security Appliance und der ASA Series 5500 Adaptive Security Appliance können von einem Angreifer dazu ausgenutzt werden, die Systeme in einen unbenutzbaren Zustand zu versetzen oder die mittels einer Access Control List (ACL) konfigurierte Filterfunktion der Produkte zu umgehen und so unerlaubt Zugriff auf die betroffenen Systeme zu erlangen.

Inhalt

• Betroffene Systeme
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Gegenmaßnahmen
• Vulnerability ID

Betroffene Systeme

• CVE-2008-2055:
  
  • Cisco PIX und Cisco ASA 7.1.x: alle Versionen vor 7.1(2)70, mit aktiviertem WebVPN, SSL VPN oder ASDM
  • Cisco PIX und Cisco ASA 7.2.x: alle Versionen vor 7.2(4), mit aktiviertem WebVPN, SSL VPN oder ASDM
  • Cisco PIX und Cisco ASA 8.0.x: alle Versionen vor 8.0(3)10, mit aktiviertem Telnet, Secure Shell (SSH), WebVPN, SSL VPN oder ASDM
• CVE-2008-2056:
  
  • Cisco PIX und Cisco ASA 8.0.x: alle Versionen vor 8.0(3)9
  • Cisco PIX und Cisco ASA 8.1.x: alle Versionen vor 8.1(1)1
• CVE-2008-2057:
  
  • Cisco PIX und Cisco ASA 7.2.x: alle Versionen vor 7.2(4)
  • Cisco PIX und Cisco ASA 8.0.x: alle Versionen vor 8.0(3)10
  • Cisco PIX und Cisco ASA 8.1.x: alle Versionen vor 8.1(1)2
• CVE-2008-2058:
  
  • Cisco PIX und Cisco ASA 7.2.x: alle Versionen vor 7.2(3)2
  • Cisco PIX und Cisco ASA 8.0.x: alle Versionen vor 8.0(2)17
• CVE-2008-2059:
  
  • Cisco PIX und Cisco ASA 8.0.x: alle Versionen vor 8.0(3)9

Nicht betroffene Systeme

• CVE-2008-2055:
  
  • Cisco PIX und Cisco ASA 7.0.x
  • Cisco PIX und Cisco ASA 8.1.x
  • Cisco Firewall Services Module (FWSM)
  • Cisco PIX 6.x
• CVE-2008-2056:
  
  • Cisco PIX und Cisco ASA 7.0.x
  • Cisco PIX und Cisco ASA 7.1.x
  • Cisco Firewall Services Module (FWSM)
  • Cisco PIX 6.x
• CVE-2008-2057:
  
  • Cisco PIX und Cisco ASA 7.0.x
  • Cisco PIX und Cisco ASA 7.1.x
  • Cisco Firewall Services Module (FWSM)
  • Cisco PIX 6.x
• CVE-2008-2058:
  
  • Cisco PIX und Cisco ASA 7.0.x
  • Cisco PIX und Cisco ASA 7.1.x
  • Cisco PIX und Cisco ASA 8.1.x
  • Cisco Firewall Services Module (FWSM)
  • Cisco PIX 6.x
• CVE-2008-2059:
  
  • Cisco PIX und Cisco ASA 7.0.x
  • Cisco PIX und Cisco ASA 7.1.x
  • Cisco PIX und Cisco ASA 7.2.x
  • Cisco PIX und Cisco ASA 8.1.x
  • Cisco Firewall Services Module (FWSM)
  • Cisco PIX 6.x

Einfallstor

• CVE-2008-2055:
  spezielles ACK-Paket im Rahmen einer TCP-Verbindung zum betroffenen System
  Hier ist zu beachten, dass nur Verkehr, der direkt an das betroffene System gerichtet ist, zum Auftreten der beschriebenen Auswirkung führt. Pakete, die an das durch das System geschützte Netz gerichtet sind, haben diesen Effekt nicht.
• CVE-2008-2056:
  spezielles TLS-Paket zum betroffenen System; ein solches kann durch die folgenden Einfallstore zum System gelangen:
  • Port 443/tcp; spezieller HTTPS-Verkehr an ein betroffenes System
    Hier ist zu beachten, dass nur Verkehr, der direkt an das betroffene System gerichtet ist, zum Auftreten der beschriebenen Auswirkung führt. Pakete, die an das durch das System geschützte Netz gerichtet sind, haben diesen Effekt nicht.
  • spezielles Paket an den cut-through proxy-Dienst eines betroffenen Systems
    Dieser Dienst kann auf einem konfigurierbaren TCP-Port (z.B. 443/tcp) sowie einem ebenfalls konfigurierbaren Interface des betroffenen Systems eingerichtet werden.
  • verschlüsselter Datenverkehr im Rahmen einer VoIP-Signalisierung (SCCP oder SIP), üblicherweise 5061/tcp (SIP)
• CVE-2008-2057:
  spezieller, zu überwachender Instant Messenger (IM) Verkehr im Transit durch die Firewall
• CVE-2008-2058:
  Port 443/tcp
• CVE-2008-2059:
  beliebiger Verkehr direkt an die Firewall, da die Control-plane Access Control List zum Schutz des Gerätes selbst nicht funktional ist

Angriffsvoraussetzung

• CVE-2008-2055:
  Zugriff auf ein Netzwerk, über das Verkehr an das betroffene System gesendet werden kann
  (network)
• CVE-2008-2056:
  
  • Zugriff auf ein Netzwerk, über das Verkehr an das betroffene System gesendet werden kann
    (network)
  • Zugriff auf ein Netzwerk, über das Verkehr an das durch ein betroffenes System geschützte Netzwerk gesendet werden kann
    (network)
• CVE-2008-2057:
  Zugriff auf ein Netzwerk, über das Verkehr an das durch ein betroffenes System geschützte Netzwerk gesendet werden kann
  (network)
• CVE-2008-2058:
  Zugriff auf ein Netzwerk, über das Verkehr an das betroffene System gesendet werden kann
  (network)
• CVE-2008-2059:
  Zugriff auf ein Netzwerk, über das Verkehr an das betroffene System gesendet werden kann
  (network)

Angriffsvektorklasse

• CVE-2008-2055:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-2056:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-2057:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-2058:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-2059:
  über eine Netzwerkverbindung
  (remote)

Auswirkung

• CVE-2008-2055:
  Neustart des betroffenen Systems, bzw. Versetzen des betroffenen Systems in einen unbenutzbaren Zustand
  (denial of service)
• CVE-2008-2056:
  Neustart des betroffenen Systems, bzw. Versetzen des betroffenen Systems in einen unbenutzbaren Zustand
  (denial of service)
• CVE-2008-2057:
  Neustart des betroffenen Systems, bzw. Versetzen des betroffenen Systems in einen unbenutzbaren Zustand
  (denial of service)
• CVE-2008-2058:
  Neustart des betroffenen Systems, bzw. Versetzen des betroffenen Systems in einen unbenutzbaren Zustand
  (denial of service)
• CVE-2008-2059:
  Umgehung der Regeln der auf dem betroffenen System installierten Firewall zum Schutz des betroffenen Systems selbst
  (other)

Typ der Verwundbarkeit

• CVE-2008-2055:
  unbekannt
  (unknown)
• CVE-2008-2056:
  unbekannt
  (unknown)
• CVE-2008-2057:
  unbekannt
  (unknown)
• CVE-2008-2058:
  unbekannt
  (unknown)
• CVE-2008-2059:
  unbekannt
  (unknown)

Gefahrenpotential

• CVE-2008-2055:
  
  • aus Sicht des betroffenen Systems mittel
  • aus Sicht des zu schützenden Netzwerkes mittel
• CVE-2008-2056:
  
  • aus Sicht des betroffenen Systems mittel
  • aus Sicht des zu schützenden Netzwerkes mittel
• CVE-2008-2057:
  
  • aus Sicht des betroffenen Systems mittel
  • aus Sicht des zu schützenden Netzwerkes mittel
• CVE-2008-2058:
  
  • aus Sicht des betroffenen Systems mittel
  • aus Sicht des zu schützenden Netzwerkes mittel
• CVE-2008-2059:
  
  • hoch

Beschreibung

• CVE-2008-2055:
  Eine Schwachstelle in der TCP-Implementierung der o.g. betroffenen Systeme kann von einem Angreifer durch das Senden einer speziell formulierten ACK-Nachricht im Rahmen des TCP-Handshakes dazu ausgenutzt werden, das beherbergende System zum Absturz zu bringen und es zum Neustart zu veranlassen. Im Rahmen eines wiederholten Angriffes kann dies zum dauerhaften Ausfall des Systems und damit der Netzwerkanbindung des durch dieses versorgten Netzwerkes führen.
  
  
• CVE-2008-2056:
  Eine Schwachstelle in der TLS-Implementierung der o.g.betroffenen Systeme kann von einem Angreifer dazu ausgenutzt werden, das beherbergende System zum Absturz zu bringen und neu zu booten. Im Rahmen eines wiederholten Angriffes kann dies zum dauerhaften Ausfall des Systems und damit der Netzwerkanbindung des durch dieses versorgten Netzwerkes führen.

  Die folgenden Applikationen auf PIX- und ASA-Systemen verwenden TLS:

  • Clientless WebVPN, SSL VPN Client sowie AnyConnect-Verbindungen
  • ASDM (HTTPS) Management Sessions
  • Cut-Through Proxy for Network Access
  • TLS Proxy for Encrypted Voice Inspection
  1. Der HTTPS-Server für WebVPN-, SSL VPN- und AnyConnect-Verbindungen kann je nach Konfiguration auf einem beliebigen Interface gestartet werden. Sofern dies das outside interface ist, kann dieser Angriff aus dem Netz außerhalb des durch das betroffene System geschützten Netz erfolgen. Dabei müssen jedoch stets Pakete an das betroffene System selbst geschickt werden. Diese Dienste werden mittels des "webvpn" Kommandos aktiviert.
  2. Der HTTP-Server für ASDM-Verbindungen kann je nach Konfiguration auf einem beliebigen Interface gestartet werden. Sofern dies das outside interface ist, kann dieser Angriff aus dem Netz außerhalb des durch das betroffene System geschützten Netz erfolgen. Dabei müssen jedoch stets Pakete an das betroffene System selbst geschickt werden. Diese Dienste werden mittels des "http server" Kommandos aktiviert.
  3. Der cut-through proxy wird verwendet, um Benutzer zu authentifizieren, bevor sie auf das Netzwerk zugreifen dürfen. Bei der Verarbeitung der entsprechenden Kommandos, die der Angreifer an den eingebauten HTTPS-Server sendet, tritt der Fehler auf. Je nach Konfiguration kann dieser Dienst auf einem beliebigen Interface des betroffenen Systems angeboten werden.
  4. Der TLS Proxy for Encrypted Voice Inspection ist ein Dienst, der die Untersuchung verschlüsselten Signalisierungsverkehrs im Rahmen einer VoIP-Sitzung erlaubt. Dabei werden die entsprechenden Pakete entschlüsselt, untersucht, eine Entscheidung über ihre Zulässigkeit getroffen, wieder verschlüsselt und weitergeleitet. Bei der Entschlüsselung entsprechenden Verkehrs tritt die Schwachstelle auf.

• CVE-2008-2057:
  Eine Schwachstelle in der Instant Messenger (IM) inspection engine der o.g.betroffenen Systeme kann von einem Angreifer durch das Senden einer entsprechenden Instant Messenger Nachricht dazu ausgenutzt werden, das betroffene System zum Absturz zu bringen und es zum Neustart zu veranlassen. Im Rahmen eines wiederholten Angriffes kann dies zum dauerhaften Ausfall des Systems und damit der Netzwerkanbindung des durch dieses versorgten Netzwerkes führen.
  
  
• CVE-2008-2058:
  Eine nicht näher beschriebene Schwachstelle, die sich offenbar ebenfalls in der TLS- oder HTTPS-Implementierung befindet, kann von einem Angreifer durch den Einsatz eines HTTPS-Scanners (Portscanner) dazu ausgenutzt werden, das betroffene System zum Absturz zu bringen und es zum Neustart zu veranlassen. Im Rahmen eines wiederholten Angriffes kann dies zum dauerhaften Ausfall des Systems und damit der Netzwerkanbindung des durch dieses versorgten Netzwerkes führen.
  
  
• CVE-2008-2059:
  Eine Schwachstelle in der Implementierung der Control-plane Access Control Lists, die zum Schutz der Firewall selbst dienen, können unter bestimmten, nicht näher definierten Umständen nicht funktional sein und das betroffene Gerät damit nicht schützen. Ein Angreifer ist in dieser Situation in der Lage, die in den Control-plane Access Control Lists definierten Regeln zu umgehen und Verkehr ungefiltert an das betroffene Gerät zu senden.

Gegenmaßnahmen

Cisco stellt aktualisierte Software zur Verfügung:
• CVE-2008-2055:
  
  • Cisco PIX und Cisco ASA 7.1.x: 7.1(2)70
  • Cisco PIX und Cisco ASA 7.2.x: 7.2(4)
  • Cisco PIX und Cisco ASA 8.0.x: 8.0(3)10
• CVE-2008-2056:
  
  • Cisco PIX und Cisco ASA 8.0.x: 8.0(3)9
  • Cisco PIX und Cisco ASA 8.1.x: 8.1(1)1
• CVE-2008-2057:
  
  • Cisco PIX und Cisco ASA 7.2.x: 7.2(4)
  • Cisco PIX und Cisco ASA 8.0.x: 8.0(3)10
  • Cisco PIX und Cisco ASA 8.1.x: 8.1(1)2
• CVE-2008-2058:
  
  • Cisco PIX und Cisco ASA 7.2.x: 7.2(3)2
  • Cisco PIX und Cisco ASA 8.0.x: 8.0(2)17
• CVE-2008-2059:
  
  • Cisco PIX und Cisco ASA 8.0.x: 8.0(3)9

Vulnerability ID

• CVE-2008-2055
• CVE-2008-2056
• CVE-2008-2057
• CVE-2008-2058
• CVE-2008-2059
(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

---

https://cert.uni-stuttgart.de/ticker/article.php?mid=1465