CISCO Buffer Overflow mit dramatisch hohem CVSS-Score

security key and binary code abstract illustration

Cisco ASA Software IKEv1 and IKEv2 Buffer Overflow Vulnerability mit einem CVSS-Score von 10  

CISCO und vor allem die Kunden von CISCO haben mit dem aktuellen Angriff durch einen „Buffer Overflow“ ein massives Problem

Angreifer sammeln offenbar flächendeckend, und das weltweit, Informationen zu möglicherweise verwundbaren Systemen. Dies betrifft vor allem Infrastrukturen von Firmen, während die Verteidiger noch mit den Tücken des Updates kämpfen.

Da gerade in SAP-Umgebungen die CISCO-Appliances in hoher Zahl zu finden sind, ist dies besonders kritisch.

Aus Kreisen von Informationsdiensten wie der IBM X-Force, aber auch staatlichen Institutionen wie dem BSI haben uns aktuelle Warnungen erreicht. Zum einen wird die Lücke selber ja als sehr kritisch eingestuft, zum anderen ist der Fix nicht sehr einfach.

Obwohl es von CISCO einen entsprechenden Fix gibt, ist die Umsetzung logistisch bei vielen Kunden nicht einfach. Da der Fix aktuell hohe Releases voraussetzt, sind die auch noch verbunden mit erweiterten Hardware.-Anforderungen, so das in einigen Fällen auch ein Speicher-Ausbau erforderlich ist.

Heise beschreibt auf heise.de/security das Vorgehen wie folgt: „Das Problem ist vor allem deshalb so dramatisch, weil es Millionen verwundbarer Systeme gibt und viele davon schon sehr lange ihren Dienst tun. Denn Cisco stellt zwar im Prinzip Updates für alle betroffenen Systeme bereit. Doch die lassen sich vor allem auf älteren Systemen nicht ohne weiteres installieren. So haben sich die RAM-Anforderungen mit dem ASA-8.3-Upgrade mal eben verdoppelt oder sogar vervierfacht. Damit benötigen viele Geräte mit der Basis-Ausstattung erst einmal ein RAM-Upgrade, um auf ein Firmware-Relase zu kommen, für das es die Security-Updates gibt.“

Nachdem Cisco Updates veröffentlicht hat, nimmt die Zahl der Scans nach möglicherweise verwundbaren System rapide zu. Dies ist die kritische Komponente in dieser Bedrohung, und die  massiven Scan-Tätigkeiten haben auch das BSI auf den Plan gerufen.

Die Entdecker dieser Lücke haben aus einer kontroversen Diskussion heraus diesen Exploit öffentlich gemacht: https://blog.exodusintel.com/2016/02/10/firewall-hacking/

Hier wird detailliert der Exploit beschrieben und so steht zu befürchten, das diese Lücke von professionellen Hackern bereits massiv ausgenutzt wird.

Deshalb hat die IBM den CVSS-Score auf 9.8 gesetzt und CISCO sogar auf dramatische 10.

Hier zeigt sich auch wieder, das neben dem Patch der Lücke in den Firewall-Appliances eine duale Strategie noch viel wichtiger ist. Sind nämlich zu dieser Firewall noch SNORT-Maschinen im Einsatz oder andere IPS/IDS-Einheiten, kann man die Angriffe auf die Firewalls parallel überwachen und erkennen. Für SNORT-Appliance und IDS-Systeme gibt es bereits entsprechende Patches.

Dies ist eine Kategorie Angriff, der für viele Firmen-Infrastrukturen, und vor allem auch für SAP-Systeme dramatisch auswirken kann. Denn gerade SAP-Systeme, die  klassisch in einem gesondert gesicherten TIER 3 liegen, können in dieser Phase angegriffen werden. Auch kann der Angreifer, anstelle eine direkte Attacke zu fahren, die Routen-Tabelle entsprechend manipulieren und unerkannt später zurück kommen.

Für SAP-Systeme besteht hier direkter Handlungsbedarf.

IBM hat dadurch auch die aus Sicht ihrer Security-Forscher globalen Bedrohungs-Indikator auf AlertCon 2 hochgestuft.

 

Mehr Information von CISCO: Link CISCO Support Case

 

Link IBM X-Force Einstufung und Information

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen