AnyConnect Auto Connect Script

AnyConnect Verbindung herstellen über Script unter Windows.

ACHTUNG! Bei dieser Methode wird der VPN-Benutzer und das Passwort im Klartext auf der lokalen Festplatte gespeichert. Aus Sicherheitsgründen würde ich eine zertifikatbasierte Authentifizierung empfehlen.

1. Textdatei mit Verbindungsdaten

connect MYVPNGW
Username
Password

2. Batch-Script

@echo off
set "host=192.168.1.1"

REM Check if internal host is available.
ping -n 1 "%host%" | findstr /r /c:"[0-9] *ms"

if %errorlevel% == 0 (
    REM echo Success.
    REM echo CONNECTED - %time% %date%>> %TEMP%\anyconnect_script_log.txt
) else (
    REM echo FAILURE.
    taskkill /f /im vpnui.exe
    "%ProgramFiles(x86)%\Cisco\Cisco AnyConnect Secure Mobility Client\vpncli.exe" -s < %USERPROFILE%\myvpn.txt
    REM echo RECONNECT- Script executed at %time% %date%>> %TEMP%\anyconnect_script_log.txt
    start "" "%ProgramFiles(x86)%\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe"
)

WebVPN Sicherheitslücke in ASA und FTD Firewalls

Eine Sicherheitslücke in den Firewalls von Cisco ermöglicht einem Angreifer aus der Ferne Dateien aus AnyConnect und WebVPN (Clientless SSL VPN Portal) auszulesen.

Bei dem Angriff gibt es keinen Zugriff auf Systemdateien des zugrundeliegenden Firewall-Betriebssystems. Laut Cisco hat ein Angreifer aber Lesezugriff auf „WebVPN configuration, bookmarks, web cookies, partial web content, and HTTP URLs.“

Cisco hat die Sicherheitslücke als „High“ eingestuft (Critical wäre die höchste Warnstufe). Für jemanden der nur AnyConnect im Einsatz hat sollte es nicht zu schlimm sein, wenn Standard-Konfigurationsdateien aus dem WebVPN ausgelesen werden können, da dadurch keine sensitiven Informationen abgegriffen werden können.

Ein Update auf eine gepatchte Firewall-OS Version würde ich trotzdem empfehlen. Wie sich oft zeigt können vermeintlich harmlose Sicherheitslücken für weitere kritische Attacken ausgenutzt werden. Auch bei dieser Sicherheitslücke hat der Hersteller weitere Informationen veröffenltich, die jetzt viel bedrohlicher klingen: „As an example, this could allow an attacker to impersonate another VPN user and establish a Clientless SSL VPN or AnyConnect VPN session to the device as that user.“

Ich bin gespannt ob die ursprüngliche Einstufung des CVSS Scores bald auf „kritisch“ geändert wird und noch weitere Details bekannt werden, ob Angreifer das genannte Beispiel bereits ausnutzen.

Link zum Security Advisory und einer Übersicht der gepatchten Firewall Betriebssystemversionen:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86

Patchday für Cisco Firewalls – May 2020 Security Advisory Bundled Publication

Mehrere Sicherheitslücken und Updates für Cisco ASA, FMC, and FTD wurden kürzlich veröffentlicht. Alle darin enthaltenen Schwachstellen wurden als „Hoch“ eingestuft. Die meisten Lücken sind Denial of Service Schwachstellen und Information Leaks.

Link zur Publikation:
https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-73830

Übersicht der Software-Updates:

asa_updates_may_2020
Screenshot von Cisco.com
ftd_updates_may_2020
Screenshot von Cisco.com

Oktober 2019 Cisco Security Advisory Bundled Publication

Mehrere Sicherheitslücken und Updates für Cisco ASA, FMC, and FTD wurden vom Hersteller in einer gesammelten Publikation veröffentlicht. Alle darin enthaltenen Schwachstellen wurden als „Hoch“ eingestuft.

Die meisten Lücken sind DOS-Schwachstellen, welche aus dem Internet verwendet werden können, um das Gerät neu zu starten bzw. vorübergehend unbrauchbar zu machen.

Zwei davon sind Remote Code Execution Sicherheitslücken, welche zum Ausführen von Code verwendet werden könnnen. Diese betreffen aber das Firepower Management Center, welches selten von extern erreichbar ist.

Hier die Zusammenfassung:

Firepower 6.3 und ASA 9.10 Release

Hier die wichtigsten Neuerung der Firewall-Software Releases von Cisco, für euch zusammengefasst:

Firepower Release 6.3

  • Multi-instance capability für Firepower 4100 und 9300 mit FTD
  • SSL hardware acceleration für Firepower 2100 series, Firepower 4100 und 9300
  • Remote Access VPN Two-Factor Authentication mit Duo
  • ASA 5506-X, 5506W-X, 5506H-X, and 5512-X wird von FTD 6.3 nicht mehr unterstützt!
    „You cannot install Firepower Threat Defense 6.3 or subsequent releases on the ASA 5506-X, 5506W-X, 5506H-X, and 5512-X. The final supported FTD release for these platforms is 6.2.3.“

ASA OS Release 9.10

  • FirePOWER Services für ASA 5506-X und 5512-X werden nicht mehr unterstützt.
  • Cisco Umbrella Support

Die größte Neuerung ist mit Sicherheit die Multi-Instanz Fähigkeit von FTD 6.3, was aber sehr interessant auffällt ist, dass die kleineren ASA Hardware-Plattformen immer weniger Unterstützung erhalten. Folgen also bald neue Geräte der Firepower Serie?

https://www.cisco.com/c/en/us/td/docs/security/firepower/630/relnotes/firepower-release-notes-630/new_features.html

https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/release/notes/asarn910.html

Cisco ASA Passwort zurücksetzen

  1. Konsolen-Verbindung mit der ASA herstellen.
    – Entweder über das typische blaue „Cisco Console Cable“ (RJ-45) oder bei neueren Modellen mit USB (Mini USB Type B).
    – Als Software kann zum Beispiel Putty verwendet werden.
    – Den richtigen COM-Port findet man unter Windows im Gerätemanager.
  2. ASA neu starten (Stromkabel ausstecken und wieder einstecken).
  3. Kurz nach dem Start ESCAPE drücken um in den ROMMON Modus zu wechseln:

    Use BREAK or ESC to interrupt boot.
    Use SPACE to begin boot immediately.
  4. Configuration Register bearbeiten:
     rommon #1> confreg 0x41
    Update Config Register (0x41) in NVRAM...
  5. ASA neu starten:
     rommon #2> boot
    Launching BootLoader...
    Boot configuration file contains 1 entry.
    Loading disk0:/asa...-k8.bin... Booting...Loading...

    Durch das Setzen des Konfigurationsregisters auf 0x41 wird die Default Configuration anstelle der Startup Configuration geladen.

  6. Privileged EXEC Modus starten:
    ciscoasa# enable
  7. Bei der Passwortabfrage ENTER drücken. Das Passwort ist leer.
  8. Die Startup Configuration laden:
    ciscoasa# copy startup-config running-config
  9. In den Konfigurationsmodus wechseln:
    ciscoasa# configure terminal
  10. Passwort ändern:
    ciscoasa(config)# password PASSWORT
    ciscoasa(config)# enable password PASSWORT
    ciscoasa(config)# username name password PASSWORT
  11. Standard Konfigurationsregister laden:
    ciscoasa(config)# no config-register
    ciscoasa(config)# end

    Das Standard Konfigurationsregister ist 0x1 und kann mit dem Befehl „show version“ überprüft werden.

  12. Konfiguration mit dem neuen Passwort speichern:
    ciscoasa# copy running-config startup-config
  13. ASA neustarten:
    ciscoasa# reload

ASA Sicherheitslücke CVE-2018-0296

Eine erst kürzlich veröffentlichte Sicherheitslücke kann dazu verwendet werden eine Cisco ASA Firewall zum Absturz zu bringen oder sensible Information zu extrahieren. Betroffen sind vor allem AnyConnect Kunde mit offenem SSL-Port.

Neue Informationen von Cisco bestätigen, dass die Lücke bereits aktiv von Angreifern  ausgenutzt wird.

Es kursieren bereits fertige Tools im Internet die es zum Beispiel ermöglichen alle angelegten Benutzer (und auch VPN-Benutzer) der Firewall anzuzeigen. Diese Informationen könnten dann für weitere Angriffe ausgenutzt werden.

Fixed Software ReleasesCVE-2018-0296_fixed_software

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-asaftd
https://blogs.cisco.com/security/cve-2018-0296
https://github.com/milo2012/CVE-2018-0296

 

Kritische Remote Code Execution Sicherheitslücke in den Cisco ASA Firewalls

Mit einem CVSS Score von 10, der höchstmöglichen Einstufung, ist am 29.01.2018 ein Advisory zu einer kritischen Sicherheitslücke in den Cisco ASA und FTD Firewalls veröffentlicht worden.

Betroffen sind alle Cisco Firewalls mit aktiviertem AnyConnect (WebVPN). Ein Angreifer kann den Exploit ohne Anmeldung am VPN ausführen und die Firewall von der Ferne aus vollständig übernehmen oder herunterfahren.

Es wird daher dringendst empfohlen Updates einzuspielen!

Zur Überprüfung ob AnyConnect aktiv ist kann folgender Befehl verwendet werden.

ciscoasa# show running-config webvpn
 webvpn

Weitere Informationen zur Lücke und Anweisung zum Patchen auf der Cisco Advisory Seite.

Vortrag und Analyse der Sicherheitslücke vom Entdecker Cedric Halbronn auf der REcon Security Konferenz.

 

 

Denial-of-Service Lücken in Cisco-Firewalls

Cisco veröffentlichte mehrere Security-Advisories die Sicherheitslücken im Code der Cisco ASA beschreiben. Nach aktuellen Erkenntnissen handelt es sich hierbei „nur“ um DOS-Schwachstellen bei dem die Firewall neu startet wenn ein Angreifer die Schwachstelle ausnutzt.

Hier die Advisories:

Cisco ASA Software IPsec Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-ipsec

Fixed Releases
cisco-sa-20170419-asa-ipsec_fixed_releases

Cisco ASA Software Internet Key Exchange Version 1 XAUTH Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-xauth

Fixed Releases
cisco-sa-20170419-asa-xauth_fixed_releases

Cisco ASA Software SSL/TLS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-tls

Fixed Releases
cisco-sa-20170419-asa-tls_fixed_releases

Cisco ASA Software DNS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-dns

Fixed Releases
cisco-sa-20170419-asa-dns_fixed_releases

Bug: Cisco ASA Firewalls stürzen nach 213 Tagen Laufzeit ab

Eine aktuelle Meldung von Cisco beschreibt einen Software-Fehler bei dem die Firewall nach 213 Tagen Uptime seinen Dienst einstellt.

Laut Angaben verarbeitet die Firewall dann keinen Traffic mehr wodurch es zum Totalausfall kommt. Grund dafür soll ein Fehler beim Verarbeiten der ARP (Address Resolution Protocol) Pakete sein. Ein weiteres Symptom beim Auftreten des Bugs wäre ein leerer ARP-Table auf der ASA, dies lässt sich mit dem Befehl „show arp“ überprüfen.

Als Workaround empfiehlt der Hersteller die Firewall neu zu starten und ein Software-Update durchzuführen, wenn dieses dann zur Verfügung steht.

Die Nachricht wurden vom Hersteller am 30.03.2017 veröffentlicht und betrifft die Cisco ASA und FTD Software.

Quelle: http://www.cisco.com/c/en/us/support/docs/field-notices/642/fn64291.html