ASA Sicherheitslücke CVE-2018-0296

Eine erst kürzlich veröffentlichte Sicherheitslücke kann dazu verwendet werden eine Cisco ASA Firewall zum Absturz zu bringen oder sensible Information zu extrahieren. Betroffen sind vor allem AnyConnect Kunde mit offenem SSL-Port.

Neue Informationen von Cisco bestätigen, dass die Lücke bereits aktiv von Angreifern  ausgenutzt wird.

Es kursieren bereits fertige Tools im Internet die es zum Beispiel ermöglichen alle angelegten Benutzer (und auch VPN-Benutzer) der Firewall anzuzeigen. Diese Informationen könnten dann für weitere Angriffe ausgenutzt werden.

Fixed Software ReleasesCVE-2018-0296_fixed_software

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-asaftd
https://blogs.cisco.com/security/cve-2018-0296
https://github.com/milo2012/CVE-2018-0296

 

Kritische Remote Code Execution Sicherheitslücke in den Cisco ASA Firewalls

Mit einem CVSS Score von 10, der höchstmöglichen Einstufung, ist am 29.01.2018 ein Advisory zu einer kritischen Sicherheitslücke in den Cisco ASA und FTD Firewalls veröffentlicht worden.

Betroffen sind alle Cisco Firewalls mit aktiviertem AnyConnect (WebVPN). Ein Angreifer kann den Exploit ohne Anmeldung am VPN ausführen und die Firewall von der Ferne aus vollständig übernehmen oder herunterfahren.

Es wird daher dringendst empfohlen Updates einzuspielen!

Zur Überprüfung ob AnyConnect aktiv ist kann folgender Befehl verwendet werden.

ciscoasa# show running-config webvpn
 webvpn

Weitere Informationen zur Lücke und Anweisung zum Patchen auf der Cisco Advisory Seite.

Vortrag und Analyse der Sicherheitslücke vom Entdecker Cedric Halbronn auf der REcon Security Konferenz.

 

 

Denial-of-Service Lücken in Cisco-Firewalls

Cisco veröffentlichte mehrere Security-Advisories die Sicherheitslücken im Code der Cisco ASA beschreiben. Nach aktuellen Erkenntnissen handelt es sich hierbei „nur“ um DOS-Schwachstellen bei dem die Firewall neu startet wenn ein Angreifer die Schwachstelle ausnutzt.

Hier die Advisories:

Cisco ASA Software IPsec Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-ipsec

Fixed Releases
cisco-sa-20170419-asa-ipsec_fixed_releases

Cisco ASA Software Internet Key Exchange Version 1 XAUTH Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-xauth

Fixed Releases
cisco-sa-20170419-asa-xauth_fixed_releases

Cisco ASA Software SSL/TLS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-tls

Fixed Releases
cisco-sa-20170419-asa-tls_fixed_releases

Cisco ASA Software DNS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-dns

Fixed Releases
cisco-sa-20170419-asa-dns_fixed_releases

Bug: Cisco ASA Firewalls stürzen nach 213 Tagen Laufzeit ab

Eine aktuelle Meldung von Cisco beschreibt einen Software-Fehler bei dem die Firewall nach 213 Tagen Uptime seinen Dienst einstellt.

Laut Angaben verarbeitet die Firewall dann keinen Traffic mehr wodurch es zum Totalausfall kommt. Grund dafür soll ein Fehler beim Verarbeiten der ARP (Address Resolution Protocol) Pakete sein. Ein weiteres Symptom beim Auftreten des Bugs wäre ein leerer ARP-Table auf der ASA, dies lässt sich mit dem Befehl „show arp“ überprüfen.

Als Workaround empfiehlt der Hersteller die Firewall neu zu starten und ein Software-Update durchzuführen, wenn dieses dann zur Verfügung steht.

Die Nachricht wurden vom Hersteller am 30.03.2017 veröffentlicht und betrifft die Cisco ASA und FTD Software.

Quelle: http://www.cisco.com/c/en/us/support/docs/field-notices/642/fn64291.html

Die Cisco ASA Firewall Lizenzierung erklärt

Für jemanden der sich nicht professionell mit Cisco Produkten beschäftigt ist das Lizenzmodell der Firewalls auf den ersten Blick oft schwer verständlich. Ich möchte mit diesem Beitrag Klarheit verschaffen.

Die Erklärung gilt für alle Cisco ASA Modelle von 5506-X bis zu 5585-X. Jede ASA stellt die volle Power (Durchsatz) ohne zusätzlicher Lizenz bereit. Zusätzlich wird AnyConnect und FirePOWER lizenziert. Die einzige Ausnahme ist die ASA 5506-X die auch eine „Security Plus“-Lizenz anbietet, diese wird aber selten benötigt weil man bei Mehrbedarf an Leistung in der Regel auf eine stärkere Box wechselt.

Die Security-Plus Lizenz der ASA 5506-X erweitert folgende Funktionen:
Maximum concurrent sessions: 20000 => 50000
IPsec site-to-site VPN peers: 10 => 50
VLANs: 5 => 30
High Availability: Active/Standby Failover

Smartnet
Ist die Erweiterung zur Standardgarantie der Firewall. Ohne Smartnet hat die Appliance nur 90 Tage Garantie ab Kaufdatum, deshalb ist ein Smartnet sehr zu empfehlen. Sie beinhaltet Support (Cisco TAC), Software-Updates und den Austausch bei Defekt.

AnyConnet
Um sich aus der Ferne (WAN) über die Firewall in das Firmennetzwerk sicher verbinden zu können benötigt man das Cisco SSL-basierte Client-VPN. Die Lizenz wird pro User und als Subscription bezahlt. Zwei SSL-VPN Lizenzen sind bei jeder Firewall kostenlos dabei. Ab ASA OS Version 8.3 benötigt man für einen Firewall-Cluster KEINE extra Lizenz.

Firepower Services
Beinhaltet die erweiterten Firewallingfunktionen (AVC, IPS, URL-Filter, Malware-Protection) und ist in 4 Lizenzmodule unterteilt. Die Firewall kann mit den Modulen je nach Bedarf bestückt werden.

Protect = Intrusion Prevention System (IPS)
Control = Application Visability & Control (AVC)
URL = URL-Filter
AMP = Malware-Protection (Virenscanner)

Protect und Control sind bei jeder Firewall im Lieferumfang enthalten. URL und AMP sind extra und als Subscription geführt.

Um es noch komplizierter zu machen hat Cisco für die Subscriptions eigene Bezeichnungen:

firepower_license

TAMC = Protect, Control, URL und AMP
TAM = Protect, Control und AMP
TAC = Protect, Control und URL-Filter
TA = Protect und Control (im Lieferumfang enthalten)
URL = URL-Filter

Üblich sind in den meisten Fällen TAMC oder TAC.

Weiter Informationen:
http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/datasheet-c78-733916.html