Blog

Cisco ASA Passwort zurücksetzen

  1. Konsolen-Verbindung mit der ASA herstellen.
    – Entweder über das typische blaue „Cisco Console Cable“ (RJ-45) oder bei neueren Modellen mit USB (Mini USB Type B).
    – Als Software kann zum Beispiel Putty verwendet werden.
    – Den richtigen COM-Port findet man unter Windows im Gerätemanager.
  2. ASA neu starten (Stromkabel ausstecken und wieder einstecken).
  3. Kurz nach dem Start ESCAPE drücken um in den ROMMON Modus zu wechseln:

    Use BREAK or ESC to interrupt boot.
    Use SPACE to begin boot immediately.
  4. Configuration Register bearbeiten:
     rommon #1> confreg 0x41
    Update Config Register (0x41) in NVRAM...
  5. ASA neu starten:
     rommon #2> boot
    Launching BootLoader...
    Boot configuration file contains 1 entry.
    Loading disk0:/asa...-k8.bin... Booting...Loading...

    Durch das Setzen des Konfigurationsregisters auf 0x41 wird die Default Configuration anstelle der Startup Configuration geladen.

  6. Privileged EXEC Modus starten:
    ciscoasa# enable
  7. Bei der Passwortabfrage ENTER drücken. Das Passwort ist leer.
  8. Die Startup Configuration laden:
    ciscoasa# copy startup-config running-config
  9. In den Konfigurationsmodus wechseln:
    ciscoasa# configure terminal
  10. Passwort ändern:
    ciscoasa(config)# password PASSWORT
    ciscoasa(config)# enable password PASSWORT
    ciscoasa(config)# username name password PASSWORT
  11. Standard Konfigurationsregister laden:
    ciscoasa(config)# no config-register
    ciscoasa(config)# end

    Das Standard Konfigurationsregister ist 0x1 und kann mit dem Befehl „show version“ überprüft werden.

  12. Konfiguration mit dem neuen Passwort speichern:
    ciscoasa# copy running-config startup-config
  13. ASA neustarten:
    ciscoasa# reload

ASA Sicherheitslücke CVE-2018-0296

Eine erst kürzlich veröffentlichte Sicherheitslücke kann dazu verwendet werden eine Cisco ASA Firewall zum Absturz zu bringen oder sensible Information zu extrahieren. Betroffen sind vor allem AnyConnect Kunde mit offenem SSL-Port.

Neue Informationen von Cisco bestätigen, dass die Lücke bereits aktiv von Angreifern  ausgenutzt wird.

Es kursieren bereits fertige Tools im Internet die es zum Beispiel ermöglichen alle angelegten Benutzer (und auch VPN-Benutzer) der Firewall anzuzeigen. Diese Informationen könnten dann für weitere Angriffe ausgenutzt werden.

Fixed Software ReleasesCVE-2018-0296_fixed_software

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-asaftd
https://blogs.cisco.com/security/cve-2018-0296
https://github.com/milo2012/CVE-2018-0296

 

Cisco Firepower Release 6.2.3

Das aktuellste Update 6.2.3 ist für alle Cisco Firepower System verfügbar, neue Features findet man aber vor allem für das Firepower Threat Defense System.

  • Verbesserungen von High Availability Clustern und der Handhabung von VPN Zertifikaten für FTD Systeme.
  • „Upgrade Package Push“ erlaubt das Software-Update Paket vor der Installation an alle Devices zu verteilen.
  • SSL Hardware Acceleration für Cisco Firepower 9300 und 4100 Series.
  • VMware ESXi 6.5 Support.
  • „Traffic Drop on Policy Apply“ ist zum Anpassen des Verbindungsverhaltens wenn der Snort-Prozess stoppt.

Hier die komplette Liste an Neuerungen:
https://www.cisco.com/c/en/us/td/docs/security/firepower/623/relnotes/Firepower_Release_Notes_623/new_features_and_changed_behavior.html

 

März 2018 Patchday bei Cisco

Mit einer gesammelten Veröffentlichung von Updates patcht Cisco gleich mehrere Sicherheitslücken in Cisco IOS und IOS XE (beides Betriebssysteme für Router und Switches). Es sind über 20 Advisories, 3 davon wurden als kritisch eingestuft.

Im Cisco Security Advisory Portal findet man eine Übersicht und weitere Informationen zu den Updates. Hier die Zusammenfassung:

Kritische Remote Code Execution Sicherheitslücke in den Cisco ASA Firewalls

Mit einem CVSS Score von 10, der höchstmöglichen Einstufung, ist am 29.01.2018 ein Advisory zu einer kritischen Sicherheitslücke in den Cisco ASA und FTD Firewalls veröffentlicht worden.

Betroffen sind alle Cisco Firewalls mit aktiviertem AnyConnect (WebVPN). Ein Angreifer kann den Exploit ohne Anmeldung am VPN ausführen und die Firewall von der Ferne aus vollständig übernehmen oder herunterfahren.

Es wird daher dringendst empfohlen Updates einzuspielen!

Zur Überprüfung ob AnyConnect aktiv ist kann folgender Befehl verwendet werden.

ciscoasa# show running-config webvpn
 webvpn

Weitere Informationen zur Lücke und Anweisung zum Patchen auf der Cisco Advisory Seite.

Vortrag und Analyse der Sicherheitslücke vom Entdecker Cedric Halbronn auf der REcon Security Konferenz.

 

 

Die Neuerungen von Graylog 2.4

NetFlow Plugin

Als neuen Input-Typ kommt jetzt auch standardmäßig Netflow mitgeliefert. Das ist vor allem spannend für die performante Auswertung von Traffic bei Firewalls und Routern.

graylog_netflow
(Quelle: https://github.com/Graylog2/graylog-plugin-netflow)

 

Erweiterungen für das QuickValue Widget

Neu ist auch die Funktion zum Gruppieren verschiedener Felder. Hiermit lassen sich zum Beispiel ganz einfach die Quell- und Ziel-IP-Adresse miteinander verknüpfen um somit den Top-Talker zu ermitteln.

graylog_quick_value1graylog_quick_value2

 

Threat Intelligence Plugin

Mit diesem Plugin lassen sich IP-Adressen und Domains aus den Logs extrahieren und gegen diverse Blacklist überprüfen.

https://github.com/Graylog2/graylog-plugin-threatintel

 

Mehr dazu:
https://www.graylog.org/blog/106-announcing-graylog-v2-4-0
https://bernhardhoerl.com/loesungen/monitoring/logs/

Informationen zur CPU Side-Channel Attacke Meltdown und Spectre

Überblick

Ein Sicherheitslücke im Design moderner Prozessoren hat vielleicht zur kritischsten Lücke in der Computergeschichte geführt.

Davon betroffen sind vor allem Intel CPUs aber auch AMD und ARM. Somit sind fast alle Geräte die wir tagtäglich benutzen verwundbar.

Die Sicherheitslücke kann dazu verwendet werden um Speicherbereiche auszulesen auf die man normalerweise keinen Zugriff hat. Die Lücke lässt sich zwar nur lokal ausführen, doch in Kombination mit anderen Exploits ergeben sich daraus dutzende Angriffsmöglichkeiten.

Zwei Beispiele

1) Eine Javascript-Sicherheitslücke in einem Browser die in der Vergangenheit von der Sandbox oder ASLR  verhindert wurde lassen sich jetzt mit Meltdown/Spectre umgehen und somit das gesamte System kompromittieren.

2) Bei einem Angriff auf einen virtuellen Server kann man durch die Side-Channel Attacken auf den gesamten Host zugreifen. Das ist vor allem bei Cloud-Anbietern die viel mit Shared-Virtual Environments arbeiten fatal.

Gegenmaßnahmen

Der beste Schutz wäre eine sichere CPU, doch diese bei allen Geräte zu tauschen wäre etwas mühsam. Deshalb gibt es von (fast) allen Herstellern bereits Patches die einen softwareseitigen Schutz aktivieren. Also: Alles muss gepatcht werden!

Sonstiges

Cisco stuft die Sicherheitslücke „Medium“ ein, da deren Geräte vor allem geschlossene System sind und das ausführen von eigenem Code nicht erlauben.

Meiner Meinung nach wird dadurch der Angriffsvektor kleiner, aber in Kombination mit anderen Lücken lässt sich auch hier ein Angriff ausführen. Deshalb glaube ich wird auch Cisco Patches für alle System mit betroffenen CPUs liefern.

Securityprodukte  wie AMP, Umbrella oder eine NGFW haben natürlich auch eigene Sicherheitsfeatures (Intrusion Prevention, Exploit Prevention, Blacklists, usw.) zur Abwehr und sollten deshalb Teil jeder Enterprise IT-Security sein.

Weitere Informationen

https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Die-Sicherheitshinweise-und-Updates-von-Hardware-und-Software-Herstellern-3936141.html

http://blog.talosintelligence.com/2018/01/meltdown-and-spectre.html

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180104-cpusidechannel

Neue Security-Lösung von Cisco für Apple iOS veröffentlich

Der Cisco Security Connector soll mehr Kontrolle und Schutz für iOS Geräte (iPhone und iPad) bieten.

Bestandteil der Lösung ist eine Security Connector App mit zwei Erweiterungen, genannt Umbrella und Clarity.

Umbrella schützt mit DNS basierter Security vor unerwünschten Seiten und Clarity (ein Bestandteil von Cisco AMP) ermöglicht Traffic Flows von Apps und Systemprozessen zu analysieren.

Weitere Infos unter:
https://blogs.cisco.com/security/now-available-cisco-security-connector-for-ios

Custom Nagios NCPA Plugin: Remote Ping

In diesem Artikel möchte ich euch zeigen wie man sein eigenes benutzerdefiniertes Plugin in den Nagios Cross-Platform Agent integriert.

In diesem Fall möchten wir das ein Client lokal einen Ping ausführt und die Ausgabe dann an Nagios zurück liefert. Das kann hilfreich sein wenn man zum Beispiel nicht nur die Round Trip Time von Nagios zum Client wissen will, sondern auch von Client zu Client.

Windows NCPA-Client Installation

  1. Download des NCPA Clients für Windows:
    https://www.nagios.org/ncpa/#downloads
  2. Nach Aufruf des Setups können die Einstellungen auf Default gelassen werden, nur bei dem Token muss ein sicheres Passwort für die Agent-Kommunikation gewählt werden:
    NCPA_Setup_Token
  3. Ob die Installation erfolgreich war kann über die Web-GUI des Agents überprüft werden, indem man mit dem Browser auf https://localhost:5693/ navigiert:
    ncpa_dashboard

Remote-Ping Plugin Installation

  1. Download:
    https://exchange.nagios.org/directory/Plugins/Uncategorized/Operating-Systems/Windows-NRPE/NagiosPluginsNT/details
  2. Zip-Archiv entpacken nach: C:\Program Files (x86)\Nagios\NCPA\plugins
    ncpa_check_ping
  3. Zum Test kann das Plugin über das NCPA API-Dashboard aufgerufen werden:
    ncpa_check_ping_api

Check Installation am Nagios Server

  1. Installation des Nagios Plugins check_ncpa.py:
    wget https://assets.nagios.com/downloads/ncpa/check_ncpa.tar.gz
    tar xzvf check_ncpa.tar.gz
  2. Test der Agent-Kommunikation:
    python check_ncpa.py -H 192.168.1.161 -t 2XI3ADFIMlaRlpC3 -P 5693 -M system/agent_version
    OK: Agent_version was ['2.0.3']
  3. Command-Definition in der commands.cfg anlegen:
    define command {
     command_name check_ncpa
     command_line python $USER1$/check_ncpa.py -H $HOSTADDRESS$ $ARG1$
    }
  4. Service-Definition des Hosts konfigurieren:
    define service{
     use generic-service
     host_name Windows Test Machine
     service_description REMOTE Ping
     check_command check_ncpa!-t '2XI3ADFIMlaRlpC3' -P 5693 -M plugins/check_ping.exe -a '-H 8.8.8.8'
    }
  5. Nagios Konfiguration neu laden
  6. Fertig! Hier die Ansicht im Dashboard:
    remote_ping_serviceremote_ping_pnp4nagios