Pan Dacom Networking AG


Pan Dacom Networking AG

Aktuelle IT Security Hinweise

Sicherheitslücken bei Cisco ASA geschlossen

Mit dem aktuellen Update schließt Cisco System mehrere Sicherheitslücken in seinen ASA Firewall Systemen. Die Warnstufen sind mit jeweils "hoch" versehen, da sie für Denial-of-Service-Attacken ausgenutzt werden können.

Dadurch können Angreifer die Firewall Systeme gezielt abstürzen lassen. Schadcode kann nach der aktuellen Einschätzung mit Hilfe der Lücken nicht direkt ausgeführt werden. Durch den Ausfall der Firewalls sind aber die Netzwerke und User ungeschützt vor weiteren gezielten Attacken.

Cisco hat zur Absicherung der betroffenen Systeme bereits eine Reihe an Software Updates veröffentlicht. Administratoren sollten zügig die fehlerbereinigten Versionen der Komponenten installieren.

Weitere Quellen und Informationen:

 https://tools.cisco.com/security/center/publicationListing.x

 

Cisco ASA 5500-X Series Firewalls: Fataler Funktionsfehler ARP nach 213 Tagen Uptime!!

ARP functions fail after 213 days of uptime, drop with error 'punt-rate-limit-exceeded'

Description

Symptom:
An ASA, after reaching an uptime of roughly 213 days will fail to process ARP packets leading to a condition where all traffic stops passing through the affected device.

Additional symptoms include:
- ASA does not have ARP entries in its ARP table. show arp is empty
- The output of show asp drop and ASP drop captures indicate a rapidly increasing counter for punt-rate-limit exceeded and the dropped packets are predominantly ARP.

IMAGES WITH FIXES
Images with fixes for this defect will be published as soon as they are available, and posted to the Cisco Software Download center.

Conditions:
This is seen when the ASA's uptime reaches 213 days.

This problem affects ASA and FTD versions:
ASA version 9.1 releases 9.1(7)8 and higher
ASA version 9.2 releases 9.2(4)15 and higher
ASA version 9.4 releases 9.4(3)5 and higher including 9.4(4)
ASA version 9.5 releases 9.5(3) and higher
ASA version 9.6 releases 9.6(2)1 and higher including 9.6(3)
ASA version 9.7 releases 9.7(1) and higher
FTD version 6.1 releases 6.1.0.1 and higher
FTD version 6.2 releases 6.2.0 and higher

Workaround:
Perform a pre-planned reboot of the device before approaching the 213 days (5124 hours) of up time. After the reboot, it will give you another 213 days of up time.

Further Problem Description:
Devices encountering this issue will not receive or respond to ARP packets. This affects not just transient traffic, but also access to the affected device - including Administration access such as SSH, HTTPS and Telnet. Console access is not affected.

More information about this issue can be found in the Following Field Notice:
http://www.cisco.com/c/en/us/support/docs/field-notices/642/fn64291.html

And in the following Cisco Blog Post:
http://blogs.cisco.com/security/urgent-proactive-customer-notification-asa

Status:

Fixed

Severity:

1 Catastrophic  

Product:

 

 

Cisco ASA 5500-X Series Firewalls

9.1(7.9) 9.2(4.15) 9.4(3.5) 9.4(4) 9.5(3) 9.6(2.1) 9.6(3) 9.7(1)    

Known Fixed Releases: 100.13(0.161) 100.11(0.77) 100.8(40.131) 99.1(20.21) 99.1(10.4) 98.1(12.68) 98.1(1.123) 98.1(1.122) 98.1(0.13) 97.1(0.157) 96.2(0.139) 9.8(0.101) 9.7(1.4) 9.6(3.1) 9.6(2.16) 9.5(3.8) 9.4(4.5) 9.2(4.20) 9.1(7.16)  

 

 


Sicherheitslücke im Cisco Cluster Management Protocol (CMP)

Durch eine Sicherheitslücke im Cisco Cluster Management Protocol (CMP) bei Cisco IOS und IOS XE Systemen, können Angreifer unautorisierte Befehle auf den betroffenen Devices remote ausführen und die Kontrolle über die Geräte erhalten.

Das Cisco Cluster Management Protocol (CMP) basiert auf dem Telnet Protokoll und ist daher äußerst unsicher. Cisco wird schnellstmöglich neue Software Updates für die betroffenen Geräte veröffentlichen.

Bis dahin empfiehlt der Hersteller Telnet auf betroffenen Geräte zu deaktivieren und bis zum Erscheinen der Patches vollkommen auf SSH Verbindungen zu setzen. Dies wird generell empfohlen.

Betroffene Produkte:

Cisco Catalyst 2K,  Cisco Catalyst 3K,  Cisco Catalyst 4K, Cisco IE 2K – 4K und ähnliche Switche

Quelle:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp


Clock Signal Component Issue

Cisco Systems hat bekanntgegeben, dass in diversen Netzwerkkomponenten Bauteile verbaut wurden, deren Lebensdauer möglicherweise begrenzt ist und nach einer Laufzeit von ca. 18 Monaten ausfallen könnten.

Um einen Ausfall (bzw. Massenausfällen) vorzubeugen, hat Cisco Systems ein „Austauschprogramm“ ins Leben gerufen.

Wir werden die Vorgehensweise innerhalb dieses Programms mit Cisco Systems abstimmen und betroffene Kunden darüber schriftlich informieren.

Weitere Informationen erhalten Sie auch unter folgendem Link:

http://www.cisco.com/c/en/us/support/web/clock-signal.html#~overview


Mehrere Open SSL Sicherheitslücken betreffen auch Cisco Produkte

Mit dem aktuellen Update schließt OpenSSL insgesamt 14 Sicherheitslücken. Eine davon ist mit der Warnstufe "hoch" versehen, da sie für Denial-of-Service-Attacken ausgenutzt werden kann. In der aktuellen Sicherheits-Warnung wird empfohlen die jüngst veröffentlichten verwundbaren Versionen 1.0.2i und 1.1.0a zu überspringen. Die Lücke in Version 1.1.0a stuft das Open SSL- Team als kritisch ein. Über einen Speicherfehler könnte ein Angreifer unter Umständen Systeme abstürzen lassen und sogar eigenen Code ausführen. Administratoren sollten zügig die fehlerbereinigte Version 1.1.0b installieren.

Information von Cisco:

    On September 22, 2016, the OpenSSL Software Foundation released an advisory that describes 14 vulnerabilities. Of these 14 vulnerabilities, the OpenSSL Software Foundation classifies one as “Critical Severity,” one as “Moderate Severity,” and the other 12 as “Low Severity.”

     Subsequently, on September 26, the OpenSSL Software Foundation released an additional advisory that describes two new vulnerabilities. These vulnerabilities affect the OpenSSL versions that were released to address the vulnerabilities disclosed in the previous advisory. One of the new vulnerabilities was rated as “High Severity” and the other as “Moderate Severity.”

     Of the 16 released vulnerabilities:

        Fourteen track issues that could result in a denial of service (DoS) condition

        One (CVE-2016-2183, aka SWEET32) tracks an implementation of a Birthday attack against Transport Layer Security (TLS) block ciphers that use a 64-bit block size that could result in loss of confidentiality

        One (CVE-2016-2178) is a timing side-channel attack that, in specific circumstances, could allow an attacker to derive the private DSA key that belongs to another user or service running on the same system

    Five of the 16 vulnerabilities affect exclusively the recently released OpenSSL versions that belong to the 1.1.0 code train, which has not yet been integrated into any Cisco product.

 

Weitere Quellen und Informationen:

 http://derstandard.at/2000044805235/OpenSSL-Neue-Version-schliesst-14-Sicherheitsluecken

http://www.heise.de/security/meldung/Neue-Sicherheits-Updates-OpenSSL-hat-sich-verpatcht-3332693.html


Cisco Firepower Management Center Remote Command Execution Vulnerability

Durch eine Sicherheitslücke in der GUI des Firepower Managements und der Oberfläche der Cisco ASA 5500-X Serie mit FirePOWER Service, können Angreifer unautorisierte Befehle auf den betroffenen Devices ausführen.

Die Sicherheitslücke basiert auf einer unzureichenden Berechtigungsprüfung. Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er selbst erstellte HTTP-Anfragen an das betroffene Gerät sendet. Durch eine erfolgreiche Attacke, könnte ein Angreifer Systembefehle mit Root-Rechten ausführen.

Cisco hat zur Absicherung der betroffenen Systeme eine Reihe an Software Updates veröffentlicht.

Betroffene Produkte

Cisco Firepower Management Center und Cisco ASA 5500-X Series mit FirePOWER Services Version 5.4.0, 5.3.1, 5.3.0.4, 5.2.0, und 4.10.3.9 sind betroffen.

Veröffentlichte Software zur Beseitigung der Sicherheitslücke

  • 5.3.1.2 und folgend
  • 5.4.0.1 und folgend
  • 5.4.1 und folgend
  • 6.0.0 und folgend

 

Quelle: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-fmc


Cisco ASA SNMP Remote Code Execution Vulnerability

Affected Products

  • Vulnerable Products

Affected Cisco ASA Software running on the following products may be affected by this vulnerability:

  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)
  • Cisco Firepower 9300 ASA Security Module
  • Cisco PIX Firewalls
  • Cisco Firewall Services Module (FWSM)

All versions of SNMP are affected by this vulnerability. Refer to the "Fixed Software" section of this security advisory for more information about the affected releases.

Fixed Releases

All Cisco ASA releases are affected. Cisco is working on fixes for supported releases.

 

Workarounds

  • Administrators are advised to allow only trusted users to have SNMP access and to monitor affected systems using the snmp-server host command.

 

Cisco ASA CLI Remote Code Execution Vulnerability

Medium

 

Affected Products

  • Vulnerable Products

Cisco Adaptive Security Appliance (ASA) Software Releases earlier than 8.4(1) are vulnerable. An attacker must have local access and be authenticated to exploit this vulnerability.

Affected Cisco ASA Software running on the following products may be affected by this vulnerability:

  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco PIX Firewalls
  • Cisco Firewall Services Module (FWSM)

Refer to the "Fixed Software" section for additional information about fixed releases.

Fixed Software

  • When considering software upgrades, customers are advised to regularly consult the advisories for Cisco products, which are available from the Cisco Security Advisories and Alerts page, to determine exposure and a complete upgrade solution.

    In all cases, customers should ensure that the devices to be upgraded contain sufficient memory and confirm that current hardware and software configurations will continue to be supported properly by the new release. If the information is not clear, customers are advised to contact the Cisco Technical Assistance Center (TAC) or their contracted maintenance providers.

Fixed Releases

This vulnerability has been fixed in Cisco ASA Software Releases 8.4.1 and later. All previous releases are affected.

 

Weitere Infos:

https://blogs.cisco.com/security/shadow-brokers

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-cli

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-cli

http://www.heise.de/security/meldung/Geleakte-NSA-Exploits-Cisco-patcht-Zero-Day-Luecke-3298838.html

 

 

 



Seite drucken
Google+