In der Software der Adaptive Security Appliance (ASA) von Cisco befindet sich eine kritische Sicherheitslücke (CVE-2016-1287), mit der Angreifer Schadcode in manipulierte Pakete verpacken und so auf dem Gerät ausführen lassen können, womit eine Firewall komplett übernommen werden kann. Ein Patch, den Administratoren dringend einspielen sollten, wurde von Cisco für die Geräte bereitgestellt. Nach dem CVSS-Score hat die Sicherheitslücke von Cisco die höchstmögliche Gefahrenstufe von 10 erhalten.

Vom SANS Institut wird berichtet, dass die Lücke bereits aktiv ausgenutzt wird. Auf Port 500 wurde gesteigerter UDP-Traffic festgestellt, was darauf zurückgehe, dass Angreifer versuchen, verwundbare Firewalls zu attackieren.

Laut Cisco sind folgende Produkte betroffen:

• ASA 5500 Series Adaptive Security Appliance
• ASA 5500-X Series Next-Generation Firewall
• ASA Services Module for Cisco Catalyst 6500 Series Switches
• Cisco 7600 Series Router
• ASA 1000V Cloud Firewall
• Adaptive Security Virtual Appliance (ASAv)
• Firepower 9300 ASA Security Module
• ISA 3000 Industrial Security Appliance

Werden diesen Geräten entsprechend präparierte Pakete geschickt, werden diese bei der Verarbeitung so, dass der Angreifer einen Pufferüberlauf im Heap ausnutzen kann, in den Speicher geschrieben. Damit kann er seinen Schadcode in einem Bereich des Speichers, der anschließend ausgeführt wird, platzieren. So kann ein Angreifer einen besonders kritischen Teil der Netzwerkinfrastruktur kapern und von dort aus tiefer in das Netz vordringen. Um das Netz abzusichern hilft, da die Cisco Firewall per Design dem Datenverkehr von außen ausgesetzt ist, nur das Einspielen des entsprechenden Patches auf dem Gerät.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE