RUS-CERT-1483 – Archivierte Meldung

Meldung Nr: RUS-CERT-1483

[Cisco/PIX,ASA] Mehrere Schwachstellen in Cisco PIX und ASA
(2008-10-22 18:57:27.458141+00)

Quelle: http://archive.cert.uni-stuttgart.de/bugtraq/2008/10/msg00171.html

Mehrere Schwachstellen in den Cisco ASA 5500 sowie PIX Security Appliances können von einem Angreifer dazu ausgenutzt werden, über eine Netzwerkverbindung unautorisiert auf das jeweilige Gerät zuzugreifen sowie es in einen unbenutzbaren Zustand zu versetzen.

Betroffene Systeme

CVE-2008-3815:
Alle Cisco ASA und PIX Geräte, die den administrativen Zugang über eine Windows NT Domäne authentifizieren.
CVE-2008-3816:
Cisco ASA und PIX Appliances der Versionen 7.2(4)9 oder 7.2(4)10, die für die Verarbeitung von IPv6-Verkehr konfiguriert sind
CVE-2008-3817:
Cisco ASA Appliances der Versionen 8.0.x

Nicht betroffene Systeme

CVE-2008-3815:
Cisco ASA und PIX Geräte, die den administrativen Zugang nicht über eine Windows NT Domäne authentifizieren.
CVE-2008-3816:
Cisco ASA und PIX Appliances, die nicht für IPv6 konfiguriert sind
CVE-2008-3817:
- Cisco ASA Appliances der Versionen 7.0, 7.1 und 7.2
- Cisco PIX Appliances

Einfallstor

CVE-2008-3815:
Windows NT Domänen-Authentifizierung
CVE-2008-3816:
speziell präparierte IPv6-Pakete
CVE-2008-3817:
speziell präparierte IP-Pakete

Angriffsvoraussetzung

CVE-2008-3815:
Gültige Zugangsdaten zu einer Windows NT Domäne, nicht jedoch Zugangsdaten zur Appliance selbst
(network group credentials)
CVE-2008-3816:
Möglichkeit, IPv6-Pakete in ein durch die Appliance geschütztes Netz zu senden
(network)
CVE-2008-3817:
Möglichkeit, Netzwerkverkehr in ein durch die Appliance geschütztes Netz zu senden
(network)

Angriffsvektorklasse

CVE-2008-3815:
über eine Windows NT Domäne
(network group)
CVE-2008-3816:
über eine Netzwerkverbindung
(remote)
CVE-2008-3817:
über eine Netzwerkverbindung
(remote)

Auswirkung

CVE-2008-3815:
Vollständige administrative Kontrolle über das System
(system compromise)
CVE-2008-3816:
Versetzen des beherbergenden Systems in einen unbenutzbaren Zustand
(denial of service)
CVE-2008-3817:
- Versetzen des beherbergenden Systems in einen unbenutzbaren Zustand
  (denial of service)
- möglicherweise Ausführung beliebigen Programmcodes auf dem beherbergenden System
  (system compromise)

Typ der Verwundbarkeit

CVE-2008-3815:
Entwurfsfehler
(designflaw)
CVE-2008-3816:
unbekannt
(unknown)
CVE-2008-3817:
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential

CVE-2008-3815:
hoch (bedingt durch die Tatsache, dass ein Angreifer im Besitz eines gültigen Kontos einer NT Domäne sein muss)
CVE-2008-3816:
mittel
CVE-2008-3817:
je nach dem, ob die Schwachstelle auch zur Kompromittierung des beherbergenden Systems ausgenutzt werden kann
mittel bzw. sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

CVE-2008-3815:
In Installationen, in denen der Zugriff auf eine Cisco PIX Security Appliance bzw. einer Adaptive Security Appliance (ASA) mittels IPsec oder einer SSL-VPN-Verbindung von einer Windows NT Domäne aus möglich ist, kann unter bestimmten Umständen die Authentifizierung umgangen werden. Ein Angreifer, der im Besitz eines gültigen Domänenkontos in einer solchen Installation ist, ist so in der Lage, ohne weitere Authentifizierung auf betroffene Appliances zuzugreifen.
CVE-2008-3816:
Eine Schwachstelle in den Routinen zur Verarbeitung von IPv6 kann von einem Angreifer durch das Senden entsprechender Pakete an das durch das System geschützte Netzwerk dazu ausgenutzt werden, ein betroffenes System zum Neustart zu veranlassen, während dessen seine Funktionalität nicht zur Verfügung steht. Wiederholtes Senden solcher Pakete kann zu einer dauerhaften Unterdrückung der durch die PIX bzw. ASA bereitgestellten Dienste ausgenutzt werden, was das System faktisch in einem unbenutzbaren Zustand hält.
CVE-2008-3817:
Eine Pufferüberlaufschwachstelle im Verschlüsselungsbeschleuniger (Crypto Accelerator) betroffener Systeme kann von einem Angreifer durch das Senden entsprechender Pakete an das durch das System geschützte Netzwerk dazu ausgenutzt werden, ein betroffenes System zum Neustart zu veranlassen, während dessen seine Funktionalität nicht zur Verfügung steht. Wiederholtes Senden solcher Pakete kann zu einer dauerhaften Unterdrückung der durch die PIX bzw. ASA bereitgestellten Dienste ausgenutzt werden, was das System faktisch in einem unbenutzbaren Zustand hält.
Da es sich bei dieser Schwachstelle um eine Pufferüberlaufschwachstelle handelt, kann diese potentiell auch zur Ausführung beliebigen Programmcodes auf dem beherbergenden System ausgenutzt werden. Dies würde in diesem Fall zur Kompromittierung des betroffenen Systems führen.

Gegenmaßnahmen

CVE-2008-3815:
Installation der mit dem Advisory Cisco Security Advisory: Multiple Vulnerabilities in Cisco PIX and Cisco ASA bereitgestellten Patches bzw. aktualisierten Softwareversionen
CVE-2008-3816:
Installation der mit dem Advisory Cisco Security Advisory: Multiple Vulnerabilities in Cisco PIX and Cisco ASA bereitgestellten Patches bzw. aktualisierten Softwareversionen
CVE-2008-3817:
Installation der mit dem Advisory Cisco Security Advisory: Multiple Vulnerabilities in Cisco PIX and Cisco ASA bereitgestellten Patches bzw. aktualisierten Softwareversionen

Vulnerability ID

- CVE-2008-3815
- CSCsu65735 (Zugriff für registrierte Cisco-Kunden)
- CVE-2008-3816
- CSCsu11575 (Zugriff für registrierte Cisco-Kunden)
- CVE-2008-3817
- CSCsj25896 (Zugriff für registrierte Cisco-Kunden)

Revisionen dieser Meldung

V 1.0 (2008-10-22)
V 1.1 (2008-10-27):
- CVE-Namen hinzugefügt

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=1483