Cisco dicht kritiek lek in vpn-functie van ASA-software

Netwerkapparatuurfabrikant Cisco heeft een kritiek lek in de software voor zijn ASA-apparaten gedicht. Dit is aanwezig in de vpn-functie en laat een aanvaller op afstand code uitvoeren en het apparaat overnemen.

Cisco heeft de kwetsbaarheid, met kenmerk CVE-2018-0101, een maximale cvss-score van 10 gegeven, waarmee het om een kritiek lek gaat. Een aanvaller kan alleen van het zogenaamde double free-lek gebruikmaken als de webvpn-functie is ingeschakeld op de ASA-netwerkapparatuur. Dit is mogelijk door gebruik te maken van speciale xml-pakketten, aldus Cisco.

cisco asa lek
Kwetsbare apparaten

Op die manier is het mogelijk om code uit te voeren en het apparaat over te nemen, of om een reload teweeg te brengen. De kwetsbaarheid is volgens Cisco publiekelijk bekend, maar het bedrijf zegt niet op de hoogte te zijn van aanvallers die er actief gebruik van maken.

Cisco heeft een lijst met kwetsbare apparaten gepubliceerd en schrijft dat het lek vanaf versie 6.2.2 in de zogenaamde FTD-software aanwezig is, omdat in die versie een remote access vpn-functie werd geïntroduceerd.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 30-01-2018 17:47
29 • submitter: YoeriOppelaar

30-01-2018 • 17:47

29

Submitter: YoeriOppelaar

Lees meer

Miljoenen Cisco-routers zijn kwetsbaar voor aanhoudend uitschakelen Trust Anchor
Miljoenen Cisco-routers zijn kwetsbaar voor aanhoudend uitschakelen Trust Anchor Nieuws van 14 mei 2019
Cisco waarschuwt voor lek in provisioningsoftware door standaardwachtwoord
Cisco waarschuwt voor lek in provisioningsoftware door standaardwachtwoord Nieuws van 8 maart 2018
Cisco dicht opnieuw kritiek lek in populaire WebEx-extensie
Cisco dicht opnieuw kritiek lek in populaire WebEx-extensie Nieuws van 18 juli 2017
'IBM, Cisco en SAP geven Russische overheid inzage in broncode software'
'IBM, Cisco en SAP geven Russische overheid inzage in broncode software' Nieuws van 23 juni 2017
Cisco waarschuwt voor standaardaccount in accesspoint
Cisco waarschuwt voor standaardaccount in accesspoint Nieuws van 6 april 2017
Cisco waarschuwt voor kritiek lek in switches na vondst in CIA-hacktools
Cisco waarschuwt voor kritiek lek in switches na vondst in CIA-hacktools Nieuws van 20 maart 2017
Cisco lost nog een kritieke kwetsbaarheid op in WebEx-browserextensie
Cisco lost nog een kritieke kwetsbaarheid op in WebEx-browserextensie Nieuws van 29 januari 2017
Cisco patcht ernstig lek in extensie dat het uitvoeren van code mogelijk maakt
Cisco patcht ernstig lek in extensie dat het uitvoeren van code mogelijk maakt Nieuws van 24 januari 2017
Lek in Cisco-software treft 17.000 Nederlandse routers
Lek in Cisco-software treft 17.000 Nederlandse routers Nieuws van 21 september 2016
Meer producten en artikelen
Netwerk en systeembeheer Cisco Security

Reacties (29)

-Moderatie-faq
29
25
14
0
0
11
Wijzig sortering
wei9ojcqw89 30 januari 2018 18:04
Je kunt webvpn uitschakelen door de volgende commando's toe te passen:
conf t
no webvpn

Neemt niet weg dat je als nog moet updaten. En dat je wellicht geen VPN verbinding meer kan maken.

[Reactie gewijzigd door wei9ojcqw89 op 23 juli 2024 09:35]

ieperlingetje @wei9ojcqw8930 januari 2018 18:25
Maar dan werkt de ssl vpn (anyconnect) ook niet meer, dus uitschakelen is niet zomaar een optie.
dezejongeman @wei9ojcqw8930 januari 2018 18:27
even een kleine nuance site to site vpn;s werken dan wel gewoon. het gaat puur om client en clientless vpn voor thuiswerk/remote werk oplossing.

voor verschillende major versie releases zijn er al sinds november patches en andere van gister. het kan dus zijn dat je jou unit al hebt bijgewerkt. volg gewoon de link van tweakers waar de releases mooi in een tabelletje staan.

wat betreft updaten. er is zoals altijd een reboot vereist. 1 is geen dus bij een failover setup heb je bij het juist uitvoeren nagenoeg geen impact.
Frituurbaas @wei9ojcqw8930 januari 2018 18:06
En dat je geen vpn verbinding meer hebt via de firewall van je werkgever |:(
194673 @Frituurbaas30 januari 2018 18:26
Je kan altijd tijdelijk terugschakelen op IPSEC verbindingen als je echt je firewall niet kan updaten.

Over het algemeen draait men echter in fail-over setup, dus 0 downtime upgrades gedurende productie uren moet prima mogelijk zijn.
hoberion @19467330 januari 2018 20:41
niet helemaal waar, je sessie gaat wel even down maar reconnect weer

als je een ping laat lopen zie je dat die niet meer werkt, na het commando nogmaals uit te voeren wel weer

zelfde voor streaming radio zagen we.

bron: vandaag de update doorgevoerd.
194673 @hoberion30 januari 2018 21:25
Dan heb je de fail-over niet goed geconfigureerd staan. Als je de configuratie goed uitvoert dan heb je een sessiontable sync tussen de 2 ASA's. Afhankelijk van de down detectie timers kan het zijn dat je iets aan traffic mist omdat hij de deadtimer moet afwachten, deze timers zijn overigens ook te tweaken. Als je een failover forceert via het 'failover' (active ASA) of 'failover active' (standby ASA) commando dan zou er op wellicht een paar packetdrops na geen sessionloss mogen plaatsvinden.
ipsec @wei9ojcqw8930 januari 2018 21:04
Vergeet de wr mem niet, anders ben je na een reload weer terug bij af :) :)
Frituurbaas 30 januari 2018 17:57
Kunnen ze die update pushen, of moeten alle familiebedrijfjes die zo'n firewall hebben staan zelf zorgen dat het geïnstalleerd wordt? Iets dat ze zelf niet kunnen, mooie business voor de lokale IT-onderhoudsmonteur!
Koffiebarbaar @Frituurbaas30 januari 2018 18:22
Cisco firmware updates moet je zelf installeren.
Er zijn zat oplossingen die dat wel doen dus als je tegen dit probleem aanhikt als familiebedrijfje moet je eens met je "system integrator" gaan praten.
Cisco hardware hoort m.i. niet echt thuis in een onbeheerde context, heeft erg snel de neiging om gigantisch achterhaald te raken met een bloedgang.
Op dat soort locaties zou ik eerder kiezen voor een linux box met een update en reboot script. Daar moet je dan misschien af en toe naar kijken omdat het in storing valt om één of andere reden maar dan heb je in ieder geval geen lek die ongezien, jaren in je hardware blijft zitten omdat er gewoon niemand naar kijkt.

[Reactie gewijzigd door Koffiebarbaar op 23 juli 2024 09:35]

the_stickie @Koffiebarbaar30 januari 2018 18:36
ik volg je wel dat Cisco apparatuur zeker degelijk beheerd moet worden... maar geldt dat niet voor àlle IT apparatuur. Ikzelf geloof niet zo in "configure and forget", en al helemaal niet als de basis een linuxdoosje is. Uiteindelijk zal die evenzeer beheerd (en geupdated) moeten worden.
Koffiebarbaar @the_stickie30 januari 2018 18:39
Niets is honderd procent unmanaged. Zeker waar. Maar op een Linux doos kan je updates en reboots gewoon automatiseren in onderhoudswindows. Stukje monitoring voor de uptime en je komt toch best een heel eind.
Armin
@Koffiebarbaar30 januari 2018 18:59
Mijn ervaring is dat de remote-beheer functies van routers/linux-dozen/etc niet zelden de bron is van veel hacks.

In principe is een firewall-kastje juist vaak set-and-forget indien je ook echt alle beheer en andere leuke extern gerichte functies uitzet.

Maar ja, met een VPN-doos is dat evident per definitie niet mogelijk.
mrdemc @Armin30 januari 2018 20:58
Als je lokaal een machine plaatst die aan de hand van een automatische taak de updates doet, bijv. Wat met de controller van Unifi kan, kun je veilig en geüpdatet blijven en als er onverhoopt iets mis gaat merk je dat snel genoeg. Maar ben je in ieder geval mbt lekken veilig omdat je de laatste versie hebt. Als deze controller dan zijn status naar buiten pusht zodat je weet dat ie geüpdatet blijft heb je ook geen ingang hier vandaan. Geen remote beheer nodig en dat is volgens mij wat @Ton Deuse bedoeld.
witchdoc @Frituurbaas30 januari 2018 17:58
Ik vermoed dat mensen niet blij zouden zijn als Cisco remote firewalls gaat upgraden.
GB2 @witchdoc30 januari 2018 19:21
De Meraki lijn geeft wel deze mogelijkheid, vraag is alleen wil je dat, gaat hij down en komt hij niet meer up dan kan je alsnog langs gaan.
Koffiebarbaar @GB231 januari 2018 12:43
In IT land hoor je dit argument vaker maar ik denk dat dat met de nodige voorzorg een behoorlijk overschaald probleem is.
Dit kan natuurlijk gebeuren, maar ik fiets op servers ook gewoon remote updates naar binnen gevolgd door reboots en dat is de afgelopen 10 jaar feitelijk één keer misgegaan op een manier dat ik echt op pad moest. En dat bleek puntje bij paaltje een hardware issue.

In datacenters heb je vaak remote hands en ook kan je bij een bedrijfje een werknemer wel vragen even een apparaat fysiek te powercyclen. Daar raken sommige IT'ers van in de stess maar daar heb ik persoonlijk iig niet zo'n last van.

[Reactie gewijzigd door Koffiebarbaar op 23 juli 2024 09:35]

sambalbaj 30 januari 2018 20:45
Ah daarom was PIA VPN gisteren zo actief de nieuwe versie van de Windows-client aan het pushen.
dezejongeman @sambalbaj30 januari 2018 21:22
dat staat hier los. het gaat hier specifiek om de software die op de firewall draait en geen software die gebruikt wordt om met de firewall te connecteren.
Solonaise 30 januari 2018 19:34
Ben benieuwd of niet meer vendoren hier last van hebben. In ieder geval goed van Cisco dat de update zonder Smartnet (gratis) beschikbaar gesteld wordt.

(Bron: https://tools.cisco.com/s...ry/cisco-sa-20180129-asa1
Customers who purchase directly from Cisco but do not hold a Cisco service contract and customers who make purchases through third-party vendors but are unsuccessful in obtaining fixed software through their point of sale should obtain upgrades by contacting the Cisco TAC: http://www.cisco.com/en/U...o_worldwide_contacts.html)

Van andere kant, overal waar software actief is zullen beveiligingslekken blijven ontstaan. Transparantie is dan ook van veel grote belang zoals Cisco en andere vendoren tegenwoordig ook communiceren.

[Reactie gewijzigd door Solonaise op 23 juli 2024 09:35]

MisteRMeesteR Moderator PNS & NT
30 januari 2018 21:26
Op de Cisco website:
The customer can also use the show asp table socket command and look for an SSL and a DTLS listen socket on TCP port 443. An SSL and DTLS listen socket on TCP port 443 must be present in order for the vulnerability to be exploited.
Zou het aanpassen van de WebVPN port (== SSL Listening port) dan de oplossing zijn? Zo zwart/wit zou een aanval toch niet zijn?
conf t
webvpn
port 12345
end
wr mem
:?

[Reactie gewijzigd door MisteRMeesteR op 23 juli 2024 09:35]

robvanwijk
@MisteRMeesteR31 januari 2018 05:41
Zou het aanpassen van de WebVPN port (== SSL Listening port) dan de oplossing zijn? Zo zwart/wit zou een aanval toch niet zijn?
Vrees dat dat niet zal helpen:
Een aanvaller kan alleen van het zogenaamde double free-lek gebruikmaken als de webvpn-functie is ingeschakeld op de ASA-netwerkapparatuur. Dit is mogelijk door gebruik te maken van speciale xml-pakketten, aldus Cisco.
Klinkt als een fout in de XML-parser (of code op een hogere laag, waar die speciale XML zorgt voor "onverwachte" data). Het lijkt mij zeer onwaarschijnlijk maar, ik heb geen manier om het zeker te weten dat de bug met een ander poortnummer opeens niet meer op zou treden. Ik vrees dat je dan eerder met security through obscurity bezig bent.
MisteRMeesteR Moderator PNS & NT
@robvanwijk31 januari 2018 08:51
Oh eens hoor :) Maar als ik de tekst van de Cisco website letterlijk opvat..
dezejongeman @springtouwtje30 januari 2018 18:29
Ieder merk heeft lekken, alleen is cisco zo vriendelijk het te vermelden en hoe ze opgelost kunnen worden. menig fabrikant kan nog wat van die transpirantie leren.
194673 @dezejongeman30 januari 2018 18:33
Mwa, in de security wereld kom je er echt niet mee weg om dingen onder de pet te houden. Elke vendor die ik ken die firewalls leveren hebben allemaal een proces zoals Cisco om lekken aan te kaarten en gepatched te krijgen. Met transparantie in die professionele markt zit het tegenwoordig echt wel goed.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq