Cisco liefert Patches für AnyConnect-VPN und ASA-Firewalls

Cisco hat Sicherheitswarnungen für den AnyConnect Secure Mobility Client für Windows und die ASA-Software bestimmter Firewall-Produkte des Unternehmens veröffentlicht.

Eine von Forschern gemeldete Schwachstelle im Smart Install Protocol des Switch-Betriebssystems IOS, die das Einschleusen von Betriebssystem-Images erlauben soll, sieht das Unternehmen jedoch nicht als solche an.

Ciscos VPN-Client AnyConnect erlaubt es Angreifern unter Umständen, den Microsoft-Browser Internet Explorer mit Systemrechten zu öffnen. Der Fehler im Modul “Start Before Logon” beruht auf einer unzureichenden Implementierung der Zugangskontrollen. Betroffene Nutzer sollten auf die Versionen 4.4.00243 oder 4.3.05017 umsteigen.

Eine unzureichende Prüfung von Nutzereingaben in die SSL-VPN-Funktion der Cisco ASA Software kann indes aus der Ferne ausgenutzt werden, um einen Heap-Überlauf auszulösen. Unter Umständen ist laut Cisco auch das Ausführen von Schadcode möglich. Ein Angreifer muss jedoch über gültige Anmeldeinformationen für das Clientless SSL VPN Portal verfügen.

Betroffen sind allerdings nur Systeme, die im Routed Firewall-Modus betrieben werden. Zudem muss eine gültige TCP-Verbindung bestehen. Anfällig sind unter anderem die ASA 5500 Series Adaptive Security Appliances, die ASA 5500-x Series Next-Generation Firewalls, die Adaptive Security Virtual Appliance, die ASA for Firepower 9300 und 4100 Series sowie die ISA 3000 Industrial Appliance.

Der Fehler wurde nun in den ASA-Versionen 9.1 (7.13), 9.4 (4) und 9.6 (2.10) behoben. Nutzer von ASA 9.0, 9.2, 9.3 und 9.5 müssen jeweils auf ein neueres Release umsteigen. Das Release 9.7 ist nach Herstellerangaben nicht betroffen.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Das Smart Install Protocol, dass der Installation von Betriebssystem-Images auf Cisco-Switches dient, wird von Sicherheitsforschern kritisiert, weil es auf jegliche Authentifizierung verzichtet. Wie Mitarbeiter von Tenable, Trustwave und Digital Security feststellten, kann diese Funktion benutzt werden, um Switches manipulierte IOS-Images unterzuschieben. Cisco selbst räumt zwar einen möglichen Missbrauch ein, beharrt aber in einem Advisory darauf, dass es sich um eine beabsichtigte Funktion handelt.

“Cisco Smart Install ist ein ‘Plug-and-play’ Konfigurations- und Image-Management-Feature, das die Implementierung neuer Switches ohne Nutzereingriff erlaubt”, teilt das Unternehmen mit. “Das Feature erlaubt es Kunden, einen Cisco-Switch an jeden beliebigen Standort zu liefern und ihn ohne jede weitere Konfiguration im Netzwerk zu installieren und zu betreiben.”

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Der neue Switch erhalte automatisch von einem als Smart Install Director bezeichneten Switch oder Router das richtige IOS-Image und die Konfigurationsdatei. Der Director vergebe zudem eine IP-Adresse und den Hostnamen des Clients. “Das Smart-Install-Feature ist ab Werk bei Client-Switches aktiviert. Die Client Switches müssen nicht konfiguriert werden.”

Cisco empfiehlt jedoch, Smart Install nicht im täglichen Betrieb zu aktivieren. Kunden, die das Protokoll nicht benötigten, sollten es deaktivieren. Zudem könne der Zugriff auf das Feature mit Access Control Lists eingeschränkt werden.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago