WebVPN Sicherheitslücke in ASA und FTD Firewalls

Eine Sicherheitslücke in den Firewalls von Cisco ermöglicht einem Angreifer aus der Ferne Dateien aus AnyConnect und WebVPN (Clientless SSL VPN Portal) auszulesen.

Bei dem Angriff gibt es keinen Zugriff auf Systemdateien des zugrundeliegenden Firewall-Betriebssystems. Laut Cisco hat ein Angreifer aber Lesezugriff auf „WebVPN configuration, bookmarks, web cookies, partial web content, and HTTP URLs.“

Cisco hat die Sicherheitslücke als „High“ eingestuft (Critical wäre die höchste Warnstufe). Für jemanden der nur AnyConnect im Einsatz hat sollte es nicht zu schlimm sein, wenn Standard-Konfigurationsdateien aus dem WebVPN ausgelesen werden können, da dadurch keine sensitiven Informationen abgegriffen werden können.

Ein Update auf eine gepatchte Firewall-OS Version würde ich trotzdem empfehlen. Wie sich oft zeigt können vermeintlich harmlose Sicherheitslücken für weitere kritische Attacken ausgenutzt werden. Auch bei dieser Sicherheitslücke hat der Hersteller weitere Informationen veröffenltich, die jetzt viel bedrohlicher klingen: „As an example, this could allow an attacker to impersonate another VPN user and establish a Clientless SSL VPN or AnyConnect VPN session to the device as that user.“

Ich bin gespannt ob die ursprüngliche Einstufung des CVSS Scores bald auf „kritisch“ geändert wird und noch weitere Details bekannt werden, ob Angreifer das genannte Beispiel bereits ausnutzen.

Link zum Security Advisory und einer Übersicht der gepatchten Firewall Betriebssystemversionen:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86

Cisco FTD Software-Update über CLI

  1. Patch mittels FTP auf die Firepower Threat Defense Firewall übertragen (LAN-Verbindung über das Inside-Interface, nicht das Management-Interface)
    > copy ftp://USER:PASSWORD@HOST/Cisco_FTD_Patch-6.4.0.8-28.sh.REL.tar disk0:
    
    Syntax error: Illegal parameter

    ACHTUNG! Bei meinem ersten Versuch den Patch zu übertragen, bekam ich eine Fehlermeldung. Ich glaube, es handelt sich dabei um einen Bug der FTD-CLI, da der Command zwar verfügbar ist, aber nicht funktioniert.

  2. Als Workaround in die ASA-CLI wechseln (LINA Engine)
    > system support diagnostic-cli
    MYFWL01# copy ftp://USER:PASSWORD@HOST/Cisco_FTD_Patch-6.4.0.8-28.sh.REL.tar disk0:
  3. In den Expert-Mode wechseln
    MYFWL01# exit
    > expert
    admin@MYFWL01$
  4. Patch installieren
    admin@MYFWL01$ sudo install_update.pl /mnt/disk0/Cisco_FTD_Patch-6.4.0.8-28.sh.REL.tar

    HINWEIS!  Ist die Firewall als HA bzw. Acitve/Standby Failover Cluster konfiguriert müssen beide Firewalls mit dem Failover-Link verbunden sein, da sonst die Patch-Installation fehlschlägt.

Firepower Threat Defense, was ist das?

Für die Cisco ASA Firewall werden aktuell zwei Betriebssysteme angeboten. Das klassische Image ASA OS und das neue FTD.

cisco asa download options.png

Ausgeliefert wird die ASA Hardware aktuell mit dem klassischen Image. So wie wir es kennen mit der alt bekannten CLI. Das grafische Management Werkzeug ist der ASDM. Die Next-Gen Firewall Funktionen erhält man in dem man die zusätzliche Komponente FirePOWER Services Software for ASA installiert.

Firepower Threat Defense ist die aktuellste Entwicklung und wird in Zukunft das klassische ASA Image ablösen.

Der Vorteil liegt darin, dass mit FTD alles aus einem Guss ist. Bei Cisco wird daher auch von einem Unified Image gesprochen. Grundsystem + Next-Gen Firewalling + Web basiertes Management.