(Bild: Cisco)
Cisco hat zwei Fehler in der Software seiner Adaptive Security Appliances behoben, die es Angreifern aus dem öffentlichen Netz erlauben, die Firewall zum Erliegen zu bringen.
Cisco-Firewalls vom Typ Adaptive Security Appliance (ASA) haben eine Sicherheitslücke, die es Angreifern von außen erlaubt, den Speicher der Geräte vollzuschreiben. Das kann dazu führen, dass die Geräte keinen Traffic mehr durchleiten und somit die Verbindung ins Internet lahmlegen. Das Problem fällt nur ins Gewicht, wenn die Geräte dazu konfiguriert sind, Internet Key Exchange (IKE) Version 1 und 2 mit IPSec zu verwenden und die Option set validate-icmp-errors
aktiviert ist. Betroffen sind also nur ASA-Systeme, die als VPN-Endpunkt mit IPSec eingesetzt werden. Reine SSL-VPNs sind nicht anfällig.
Bereits im Februar hatte Cisco eine kritische Sicherheitslücke in der IKE-Implementation der ASA-Firewalls geschlossen. Bei dieser brisanteren Lücke konnten Angreifer sogar Schadcode auf den Geräten ausführen. Da es wie bei der Lücke im Februar auch nun keinen Workaround für das Problem gibt, sollten Admins mit betroffenen Geräten die Updates von Cisco einspielen. Verwundbar ist ASA-Software von Version 9.0 bis einschließlich Version 9.5 ? Cisco sieht allerdings bis jetzt keine Anzeichen dafür, dass die Lücke aktiv ausgenutzt wird.
Außerdem hat der Hersteller eine zweite Lücke mit mittlerer Priorität geschlossen, die den XML-Parser betrifft und ebenfalls über einen Absturz der Firewall für Denial-of-Service-Angriffe missbraucht werden kann. Von dieser Lücke sind alle ASA-Software-Versionen bis einschließlich Version 9.5 betroffen. (fab)