Cisco: Kritische Lücke im VPN ermöglicht DoS-Angriffe auf Switches

Ein Fehler in der ASA-Software von Cisco ermöglicht Angriffe aus der Ferne. Das Problem: Davon sind auch häufig eingesetzte Catalyst-Switches, Router und Firewall-Systeme betroffen. Erste Patches werden bereits verteilt.

Artikel veröffentlicht am ,
Viele Cisco-Geräte mit ASA-Software sind von der Sicherheitslücke betroffen.
Viele Cisco-Geräte mit ASA-Software sind von der Sicherheitslücke betroffen. (Bild: Cisco)

Der Netzwerkhersteller Cisco hat eine kritische Sicherheitslücke in vielen seiner Geräte angegeben, die die Software Adaptive Security Appliance (ASA) und dessen Virtual Private Networks über SSL betreffen. Ein unautorisierter Angreifer kann darüber auf ein betroffenes Gerät zugreifen oder aus der Ferne Fremdcode ausführen, etwa um Denial-of-Service-Angriffe (DoS) durchzuführen. Cisco habe aber bisher noch keine Angriffe über diese Schwachstelle wahrnehmen können.

Stellenmarkt
  1. Absolvent (m/w/d) für die Softwareentwicklung
    Planets Software GmbH, Dortmund
  2. IT Systemadministrator (m/w/d)
    Franz Mensch GmbH, Buchloe
Detailsuche

Der Fehler ist problematisch, da er in Unternehmen recht häufig eingesetzte Switches der Serien Catalyst 6500 und des Routers Catalyst 7600 betrifft. Cisco hat diese Produkte teils in Nexus umbenannt. Ironischerweise sind auch Firewall-Produkte davor nicht sicher: Cisco gibt die Firepower 2100, 4100 und 9300 als ebenfalls bedroht an. Eine komplette Liste der betroffenen Geräte stellt Cisco auf einer entsprechenden Seite bereit. Darauf stehen:

- 3000 Series Industrial Security Appliance (ISA)
- ASA 5500 Series Adaptive Security Appliances
- ASA 5500-X Series Next-Generation Firewalls
- ASA Services Module for Cisco Catalyst 6500 Switches, Cisco 7600 Routers
- ASA 1000V Cloud Firewall
- Adaptive Security Virtual Appliance (ASAv)
- Firepower 2100 Series Security Appliance
- Firepower 4110 Security Appliance
- Firepower 9300 ASA Security Module
- Firepower Threat Defense Software (FTD)

Die für den Fehler verantwortliche ASA-Software ist dann angreifbar, wenn auf dem Gerät die Funktion webvpn aktiviert ist, mit der ein Administrator auf Hardware aus der Ferne zugreifen kann. Cisco gibt auch an, dass die Software Firepower Threat Defense in der Version 6.2.2 von der Lücke betroffen ist. Über den Kommandozeilenbefehl "show version" kann ein Gerät auf die Softwareversion geprüft werden.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Cisco hat bereits einige Patches für die ASA-Versionen 9.1, 9.2, 9,4, 9.6, 9.7, 9.8 und 9.9 veröffentlicht. Nutzern der Software ab 8.x empfiehlt Cisco die Migration auf eine andere Versionsnummer. Für FTD stellt das Unternehmen einen Hotfix bereit. Versionen, die älter als 6.2.2 sind, weisen die Sicherheitslücke nicht auf. Diese unterstützen die betroffene VPN-Funktion noch nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Aktuell auf der Startseite von Golem.de
Raumfahrt
Astra startet mit großen Ambitionen Billigraketen in Alaska

Mit 250.000 US-Dollar sollen die Raketen von Astra zum Preis eines Sportwagens hergestellt werden können. Wie will die Firma das schaffen?
Von Frank Wunderlich-Pfeiffer

Raumfahrt: Astra startet mit großen Ambitionen Billigraketen in Alaska
Artikel
  1. Ubisoft: Avatar statt Assassin's Creed
    Ubisoft
    Avatar statt Assassin's Creed

    E3 2021 Als wichtigste Neuheit hat Ubisoft ein Spiel auf Basis von Avatar vorgestellt - und Assassin's Creed muss mit Valhalla in die Verlängerung.

  2. Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
    Fifa, Battlefield und Co.
    Der EA-Hack startete mit Cookies für 10 US-Dollar

    Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

  3. Onlinetickets: 17-Jähriger betrügt Bahn um 270.000 Euro
    Onlinetickets
    17-Jähriger betrügt Bahn um 270.000 Euro

    Mit illegal erworbenen Onlinetickets soll ein 17-Jähriger die Bahn um 270.000 Euro geprellt haben. Entdeckt wurde er nur durch Zufall.

Kommentarübersicht
Re: Fehler im Artikel
dale6667 30. Jan 2018

Die Sicherheitslücke betrifft aber auch ASA Module für Switche und Router. Ich denke...

Folgen Sie uns
       
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ • Amazon: PC-Spiele reduziert (u. a. C&C: Remastered Collection 9,99€) [Werbung]
    Mehr Infos
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /