Von einer Sicherheitslücke, die es Angreifern von außen erlaubt, den Speicher der Cisco-Geräte vollzuschreiben, sind Cisco-Firewalls vom Typ Adaptive Security Appliance (ASA) betroffen. Dies kann zur Folge haben, dass die Geräte keinen Traffic mehr durchleiten und somit die Verbindung ins Internet lahmlegen.

Dies betrifft allerdings nur die Geräte, die so konfiguriert wurden, Internet Key Exchange (IKE) Version 1 und 2 mit IPSec zu verwenden und die Option set validate-icmp-errors aktiviert ist. Somit sind nur ASA-Systeme betroffen, die als VPN-Endpunkt mit IPSec eingesetzt werden. Nicht anfällig sind reine SSL-VPNs.

Cisco hatte bereits im Februar eine kritische Sicherheitslücke in der IKE-Implementation der ASA-Firewalls geschlossen. Angreifer konnten darüber sogar Schadcode auf den Geräten ausführen. Admins sollten mit betroffenen Geräten die Updates von Cisco einspielen, da es wie bei der Lücke im Februar keinen Workaround für das Problem gibt. ASA-Software von Version 9.0 bis einschließlich Version 9.5 ist verwundbar. Allerdings hat Cisco bislang keine Anzeichen dafür gesehen, dass die Lücke aktiv ausgenutzt wird.

Der Hersteller hat zudem eine zweite Lücke mit mittlerer Priorität geschlossen, die den XML-Parser betrifft und ebenfalls über einen Absturz der Firewall für Denial-of-Service-Angriffe missbraucht werden kann. Alle ASA-Software-Versionen bis einschließlich Version 9.5 sind davon betroffen.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE