ASA – Bernhard Hörl

WebVPN Sicherheitslücke in ASA und FTD Firewalls

Veröffentlicht am August 5, 2020August 23, 2021 von bho

Eine Sicherheitslücke in den Firewalls von Cisco ermöglicht einem Angreifer aus der Ferne Dateien aus AnyConnect und WebVPN (Clientless SSL VPN Portal) auszulesen.

Bei dem Angriff gibt es keinen Zugriff auf Systemdateien des zugrundeliegenden Firewall-Betriebssystems. Laut Cisco hat ein Angreifer aber Lesezugriff auf „WebVPN configuration, bookmarks, web cookies, partial web content, and HTTP URLs.“

Cisco hat die Sicherheitslücke als „High“ eingestuft (Critical wäre die höchste Warnstufe). Für jemanden der nur AnyConnect im Einsatz hat sollte es nicht zu schlimm sein, wenn Standard-Konfigurationsdateien aus dem WebVPN ausgelesen werden können, da dadurch keine sensitiven Informationen abgegriffen werden können.

Ein Update auf eine gepatchte Firewall-OS Version würde ich trotzdem empfehlen. Wie sich oft zeigt können vermeintlich harmlose Sicherheitslücken für weitere kritische Attacken ausgenutzt werden. Auch bei dieser Sicherheitslücke hat der Hersteller weitere Informationen veröffenltich, die jetzt viel bedrohlicher klingen: „As an example, this could allow an attacker to impersonate another VPN user and establish a Clientless SSL VPN or AnyConnect VPN session to the device as that user.“

Ich bin gespannt ob die ursprüngliche Einstufung des CVSS Scores bald auf „kritisch“ geändert wird und noch weitere Details bekannt werden, ob Angreifer das genannte Beispiel bereits ausnutzen.

Link zum Security Advisory und einer Übersicht der gepatchten Firewall Betriebssystemversionen:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86

Firepower 6.3 und ASA 9.10 Release

Veröffentlicht am Januar 15, 2019August 23, 2021 von bho

Hier die wichtigsten Neuerung der Firewall-Software Releases von Cisco, für euch zusammengefasst:

Firepower Release 6.3

Multi-instance capability für Firepower 4100 und 9300 mit FTD
SSL hardware acceleration für Firepower 2100 series, Firepower 4100 und 9300
Remote Access VPN Two-Factor Authentication mit Duo
ASA 5506-X, 5506W-X, 5506H-X, and 5512-X wird von FTD 6.3 nicht mehr unterstützt!
„You cannot install Firepower Threat Defense 6.3 or subsequent releases on the ASA 5506-X, 5506W-X, 5506H-X, and 5512-X. The final supported FTD release for these platforms is 6.2.3.“

ASA OS Release 9.10

FirePOWER Services für ASA 5506-X und 5512-X werden nicht mehr unterstützt.
Cisco Umbrella Support

Die größte Neuerung ist mit Sicherheit die Multi-Instanz Fähigkeit von FTD 6.3, was aber sehr interessant auffällt ist, dass die kleineren ASA Hardware-Plattformen immer weniger Unterstützung erhalten. Folgen also bald neue Geräte der Firepower Serie?

https://www.cisco.com/c/en/us/td/docs/security/firepower/630/relnotes/firepower-release-notes-630/new_features.html

https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/release/notes/asarn910.html

Cisco ASA Passwort zurücksetzen

Veröffentlicht am November 5, 2018August 23, 2021 von bho

Konsolen-Verbindung mit der ASA herstellen.
– Entweder über das typische blaue „Cisco Console Cable“ (RJ-45) oder bei neueren Modellen mit USB (Mini USB Type B).
– Als Software kann zum Beispiel Putty verwendet werden.
– Den richtigen COM-Port findet man unter Windows im Gerätemanager.
ASA neu starten (Stromkabel ausstecken und wieder einstecken).

Kurz nach dem Start ESCAPE drücken um in den ROMMON Modus zu wechseln:

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.

Configuration Register bearbeiten:

 rommon #1> confreg 0x41
Update Config Register (0x41) in NVRAM...

ASA neu starten:
```
 rommon #2> boot
Launching BootLoader...
Boot configuration file contains 1 entry.
Loading disk0:/asa...-k8.bin... Booting...Loading...
```
Durch das Setzen des Konfigurationsregisters auf 0x41 wird die Default Configuration anstelle der Startup Configuration geladen.
Privileged EXEC Modus starten:
```
ciscoasa# enable
```
Bei der Passwortabfrage ENTER drücken. Das Passwort ist leer.

Die Startup Configuration laden:

ciscoasa# copy startup-config running-config

In den Konfigurationsmodus wechseln:
```
ciscoasa# configure terminal
```

Passwort ändern:

ciscoasa(config)# password PASSWORT
ciscoasa(config)# enable password PASSWORT
ciscoasa(config)# username name password PASSWORT

Standard Konfigurationsregister laden:
```
ciscoasa(config)# no config-register
ciscoasa(config)# end
```
Das Standard Konfigurationsregister ist 0x1 und kann mit dem Befehl „show version“ überprüft werden.
Konfiguration mit dem neuen Passwort speichern:
```
ciscoasa# copy running-config startup-config
```
ASA neustarten:
```
ciscoasa# reload
```

ASA Sicherheitslücke CVE-2018-0296

Veröffentlicht am Juni 25, 2018August 23, 2021 von bho

Eine erst kürzlich veröffentlichte Sicherheitslücke kann dazu verwendet werden eine Cisco ASA Firewall zum Absturz zu bringen oder sensible Information zu extrahieren. Betroffen sind vor allem AnyConnect Kunde mit offenem SSL-Port.

Neue Informationen von Cisco bestätigen, dass die Lücke bereits aktiv von Angreifern ausgenutzt wird.

Es kursieren bereits fertige Tools im Internet die es zum Beispiel ermöglichen alle angelegten Benutzer (und auch VPN-Benutzer) der Firewall anzuzeigen. Diese Informationen könnten dann für weitere Angriffe ausgenutzt werden.

Fixed Software Releases CVE-2018-0296_fixed_software

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-asaftd
https://blogs.cisco.com/security/cve-2018-0296
https://github.com/milo2012/CVE-2018-0296

Kritische Remote Code Execution Sicherheitslücke in den Cisco ASA Firewalls

Veröffentlicht am Januar 30, 2018August 23, 2021 von bho

Mit einem CVSS Score von 10, der höchstmöglichen Einstufung, ist am 29.01.2018 ein Advisory zu einer kritischen Sicherheitslücke in den Cisco ASA und FTD Firewalls veröffentlicht worden.

Betroffen sind alle Cisco Firewalls mit aktiviertem AnyConnect (WebVPN). Ein Angreifer kann den Exploit ohne Anmeldung am VPN ausführen und die Firewall von der Ferne aus vollständig übernehmen oder herunterfahren.

Es wird daher dringendst empfohlen Updates einzuspielen!

Zur Überprüfung ob AnyConnect aktiv ist kann folgender Befehl verwendet werden.

ciscoasa# show running-config webvpn
 webvpn

Weitere Informationen zur Lücke und Anweisung zum Patchen auf der Cisco Advisory Seite.

Vortrag und Analyse der Sicherheitslücke vom Entdecker Cedric Halbronn auf der REcon Security Konferenz.

Denial-of-Service Lücken in Cisco-Firewalls

Veröffentlicht am April 24, 2017August 23, 2021 von bho

Cisco veröffentlichte mehrere Security-Advisories die Sicherheitslücken im Code der Cisco ASA beschreiben. Nach aktuellen Erkenntnissen handelt es sich hierbei „nur“ um DOS-Schwachstellen bei dem die Firewall neu startet wenn ein Angreifer die Schwachstelle ausnutzt.

Hier die Advisories:

Cisco ASA Software IPsec Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-ipsec

Fixed Releases
cisco-sa-20170419-asa-ipsec_fixed_releases

Cisco ASA Software Internet Key Exchange Version 1 XAUTH Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-xauth

Fixed Releases
cisco-sa-20170419-asa-xauth_fixed_releases

Cisco ASA Software SSL/TLS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-tls

Fixed Releases
cisco-sa-20170419-asa-tls_fixed_releases

Cisco ASA Software DNS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-asa-dns

Fixed Releases
cisco-sa-20170419-asa-dns_fixed_releases

Bug: Cisco ASA Firewalls stürzen nach 213 Tagen Laufzeit ab

Veröffentlicht am April 4, 2017August 23, 2021 von bho

Eine aktuelle Meldung von Cisco beschreibt einen Software-Fehler bei dem die Firewall nach 213 Tagen Uptime seinen Dienst einstellt.

Laut Angaben verarbeitet die Firewall dann keinen Traffic mehr wodurch es zum Totalausfall kommt. Grund dafür soll ein Fehler beim Verarbeiten der ARP (Address Resolution Protocol) Pakete sein. Ein weiteres Symptom beim Auftreten des Bugs wäre ein leerer ARP-Table auf der ASA, dies lässt sich mit dem Befehl „show arp“ überprüfen.

Als Workaround empfiehlt der Hersteller die Firewall neu zu starten und ein Software-Update durchzuführen, wenn dieses dann zur Verfügung steht.

Die Nachricht wurden vom Hersteller am 30.03.2017 veröffentlicht und betrifft die Cisco ASA und FTD Software.

Quelle: http://www.cisco.com/c/en/us/support/docs/field-notices/642/fn64291.html

Cisco ASA Firewall Lizenzierung erklärt

Veröffentlicht am März 28, 2017August 23, 2021 von bho

Für jemanden der sich nicht professionell mit Cisco Produkten beschäftigt ist das Lizenzmodell der Firewalls auf den ersten Blick oft schwer verständlich. Ich möchte mit diesem Beitrag Klarheit verschaffen.

Die Erklärung gilt für alle Cisco ASA Modelle von 5506-X bis zu 5585-X. Jede ASA stellt die volle Power (Durchsatz) ohne zusätzlicher Lizenz bereit. Zusätzlich wird AnyConnect und FirePOWER lizenziert. Die einzige Ausnahme ist die ASA 5506-X die auch eine „Security Plus“-Lizenz anbietet, diese wird aber selten benötigt weil man bei Mehrbedarf an Leistung in der Regel auf eine stärkere Box wechselt.

Die Security-Plus Lizenz der ASA 5506-X erweitert folgende Funktionen:
Maximum concurrent sessions: 20000 => 50000
IPsec site-to-site VPN peers: 10 => 50
VLANs: 5 => 30
High Availability: Active/Standby Failover

Smartnet
Ist die Erweiterung zur Standardgarantie der Firewall. Ohne Smartnet hat die Appliance nur 90 Tage Garantie ab Kaufdatum, deshalb ist ein Smartnet sehr zu empfehlen. Sie beinhaltet Support (Cisco TAC), Software-Updates und den Austausch bei Defekt.

AnyConnet
Um sich aus der Ferne (WAN) über die Firewall in das Firmennetzwerk sicher verbinden zu können benötigt man das Cisco SSL-basierte Client-VPN. Die Lizenz wird pro User und als Subscription bezahlt. Zwei SSL-VPN Lizenzen sind bei jeder Firewall kostenlos dabei. Ab ASA OS Version 8.3 benötigt man für einen Firewall-Cluster KEINE extra Lizenz.

Firepower Services
Beinhaltet die erweiterten Firewallingfunktionen (AVC, IPS, URL-Filter, Malware-Protection) und ist in 4 Lizenzmodule unterteilt. Die Firewall kann mit den Modulen je nach Bedarf bestückt werden.

Protect = Intrusion Prevention System (IPS)
Control = Application Visability & Control (AVC)
URL = URL-Filter
AMP = Malware-Protection (Virenscanner)

Protect und Control sind bei jeder Firewall im Lieferumfang enthalten. URL und AMP sind extra und als Subscription geführt.

Um es noch komplizierter zu machen hat Cisco für die Subscriptions eigene Bezeichnungen:

firepower_license

TAMC = Protect, Control, URL und AMP
TAM = Protect, Control und AMP
TAC = Protect, Control und URL-Filter
TA = Protect und Control (im Lieferumfang enthalten)
URL = URL-Filter

Üblich sind in den meisten Fällen TAMC oder TAC.

Weiter Informationen:
http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/datasheet-c78-733916.html