Aktuelle IT Security Hinweise
Kritische Sicherheitslücke in Apache Struts
Cisco Systems hat eine Schwachstelle in seinen Produkten festgestellt, welche äußerst kritisch für Unternehmen sein kann.
Apache Struts ist ein quelloffenes Jave-Framework für das Entwickeln und Bereitstellen von Web-Applikationen.
Die Sicherheitslücke ermöglicht es Angreifern Schadcode, über die Eingabe von Apache Struts, auf gezielte Systeme auszuführen.
Betroffene Produkte:
Product | Cisco Bug ID | Fixed Release Availability |
Network and Content Security Devices | ||
Cisco Identity Services Engine (ISE) | Fix will be provided (31-Aug-2018) | |
Network Management and Provisioning | ||
Cisco Unified Intelligence Center | ||
Voice and Unified Communications Devices | ||
Cisco Emergency Responder | ||
Cisco Hosted Collaboration Solution for Contact Center | ||
Cisco Unified Communications Manager IM & Presence Service (formerly CUPS) | ||
Cisco Unified Communications Manager | ||
Cisco Unified Contact Center Enterprise | ||
Cisco Unified Intelligent Contact Management Enterprise | ||
Cisco Unified SIP Proxy Software | ||
Cisco Unified Survivable Remote Site Telephony Manager | ||
Cisco Unity Connection | ||
Video, Streaming, TelePresence, and Transcoding Devices | ||
Cisco Video Distribution Suite for Internet Streaming (VDS-IS) | Fix planned (15-Sept-2018) | |
Cisco Cloud Hosted Services | ||
Cisco Network Performance Analysis | |
Administratoren sollten zügig die fehlerbereinigten Versionen der Komponenten installieren, wenn sie verfügbar sind.
Weitere Informationen:
Kritische Sicherheitslücken bei Cisco-Produkten
Der Netzwerkausrüster Cisco Systems hat einige Schwachstellen in seinen Produkten entdeckt, welche kritisch für Unternehmen sind und welche schnellstens geschlossen werden sollten.
Besonders gravierend ist eine Sicherheitslücke in der Software Cisco Prime. Angreifer können sich ohne Autorisierung über das Netzwerk verbinden und Daten speichern sowie ausführen.
Auch in den Produkten Cisco ACS, Smart Install-Funktion von Cisco IOS und Cisco WebEx liegen kritische Sicherheitslücken vor, welche zeitnah beseitigt werden müssen.
Cisco hat zur Absicherung der betroffenen Systeme bereits eine Reihe an Software Updates veröffentlicht. Administratoren sollten zügig die fehlerbereinigten Versionen der Komponenten installieren.
Weitere Quellen und Informationen:
VPN Sicherheitslücke bei Cisco Adaptive Security Appliance Software (ASA)
Mit dem aktuellen Update schließt Cisco Systems eine äußerst kritische Sicherheitslücke in seinen ASA Firewall Systemen.
Die Schwachstelle stammt aus der VPN-Funktion der ASA Firewall Software und kann von Angreifern ausgenutzt werden.
Angreifer können mit präparierten XML-Pakete Fehler die Firewall Systeme gezielt abstürzen lassen. Die Geräte können im Anschluss kompromittiert werden.
Bedroht sind daher grundsätzlich nur Unternehmen und Nutzer, welche die VPN-Funktion nutzen und aktiviert haben.
Cisco hat zur Absicherung der betroffenen Systeme bereits eine Reihe an Software Updates veröffentlicht.
Betroffene Administratoren sollten zügig die VPN-Funktion deaktivieren und fehlerbereinigte Versionen der Komponenten installieren.
Betroffene Produkte:
· 3000 Series Industrial Security Appliance (ISA)
· ASA 5500 Series Adaptive Security Appliances
· ASA 5500-X Series Next-Generation Firewalls
· ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
· ASA 1000V Cloud Firewall
· Adaptive Security Virtual Appliance (ASAv)
· Firepower 2100 Series Security Appliance
· Firepower 4110 Security Appliance
· Firepower 9300 ASA Security Module
· Firepower Threat Defense Software (FTD)
Fixed Release:
Cisco ASA Major Release | First Fixed Release | Alt |
8.x1 | Affected; migrate to 9.1.7.23 | Affected; migrate to 9.1.7.20 or later |
9.0 | Affected; migrate to 9.1.7.23 | Affected; migrate to 9.1.7.20 or later |
9.1 | 9.1.7.23 | 9.1.7.20 |
9.2 | 9.2.4.27 | 9.2.4.25 |
9.3 | Affected; migrate to 9.4.4.16 | Affected; migrate to 9.4.4.14 or later |
9.4 | 9.4.4.16 | 9.4.4.14 |
9.5 | Affected; migrate to 9.6.4.3 | Affected; migrate to 9.6.4.20 or later |
9.6 | 9.6.4.3 | 9.6.4.20 |
9.7 | 9.7.1.21 | 9.7.1.16 |
9.8 | 9.8.2.20 | 9.8.2.14 |
9.9 | 9.9.1.2 | 9.9.1.2 |
Weitere Quellen und Informationen:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1#fixed
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1
WPA2 Key Reinstallation Vulnerabilities
Die Sicherheitsforscher haben kritische Sicherheitslücken in der WLAN Verschlüsselung „WPA2“ entdeckt.
Mithilfe dieser Sicherheitslücke können Angreifer unautorisiert WPA2 aufbrechen und geschützten Datenverkehr mitlesen.
Passwörter oder Pre-shared keys können bei dieser Attacke aber nicht entwendet werden.
Die Hersteller Cisco und HPE haben bereits reagiert und einige Software Updates für die betroffenen Geräte veröffentlicht.
Weitere Sicherheitsupdates werden in den kommenden Tagen auf den Software Plattformen der Hersteller erwartet.
Sollten Sie weitere Informationen oder Unterstützung beim Aufspielen der neuen Software benötigen, unterstützt Sie Pan Dacom sehr gerne.
Betroffene Produkte im Portfolio der Pan Dacom:
HPE/Aruba Access Points, Cisco AnyConnect Secure Mobility Client, Cisco Aironet Serie, Cisco Meraki MR Serie, Cisco WAP Serie, Cisco ASA 5506W-X, Cisco IP Phone 8800 Serie und ähnliche wirelessfähige Endgeräte
Weitere Informationen:
· Cisco: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa
· HPE/Aruba:http://www.arubanetworks.com/support-services/security-bulletins/
Sicherheitslücken bei Cisco ASA geschlossen
Mit dem aktuellen Update schließt Cisco System mehrere Sicherheitslücken in seinen ASA Firewall Systemen. Die Warnstufen sind mit jeweils "hoch" versehen, da sie für Denial-of-Service-Attacken ausgenutzt werden können.
Dadurch können Angreifer die Firewall Systeme gezielt abstürzen lassen. Schadcode kann nach der aktuellen Einschätzung mit Hilfe der Lücken nicht direkt ausgeführt werden. Durch den Ausfall der Firewalls sind aber die Netzwerke und User ungeschützt vor weiteren gezielten Attacken.
Cisco hat zur Absicherung der betroffenen Systeme bereits eine Reihe an Software Updates veröffentlicht. Administratoren sollten zügig die fehlerbereinigten Versionen der Komponenten installieren.
Weitere Quellen und Informationen:
https://tools.cisco.com/security/center/publicationListing.x
Cisco ASA 5500-X Series Firewalls: Fataler Funktionsfehler ARP nach 213 Tagen Uptime!!
ARP functions fail after 213 days of uptime, drop with error 'punt-rate-limit-exceeded'
Description
Symptom:
An ASA, after reaching an uptime of roughly 213 days will fail to process ARP packets leading to a condition where all traffic stops passing through the affected device.
Additional symptoms include:
- ASA does not have ARP entries in its ARP table. show arp is empty
- The output of show asp drop and ASP drop captures indicate a rapidly increasing counter for punt-rate-limit exceeded and the dropped packets are predominantly ARP.
IMAGES WITH FIXES
Images with fixes for this defect will be published as soon as they are available, and posted to the Cisco Software Download center.
Conditions:
This is seen when the ASA's uptime reaches 213 days.
This problem affects ASA and FTD versions:
ASA version 9.1 releases 9.1(7)8 and higher
ASA version 9.2 releases 9.2(4)15 and higher
ASA version 9.4 releases 9.4(3)5 and higher including 9.4(4)
ASA version 9.5 releases 9.5(3) and higher
ASA version 9.6 releases 9.6(2)1 and higher including 9.6(3)
ASA version 9.7 releases 9.7(1) and higher
FTD version 6.1 releases 6.1.0.1 and higher
FTD version 6.2 releases 6.2.0 and higher
Workaround:
Perform a pre-planned reboot of the device before approaching the 213 days (5124 hours) of up time. After the reboot, it will give you another 213 days of up time.
Further Problem Description:
Devices encountering this issue will not receive or respond to ARP packets. This affects not just transient traffic, but also access to the affected device - including Administration access such as SSH, HTTPS and Telnet. Console access is not affected.
More information about this issue can be found in the Following Field Notice:
http://www.cisco.com/c/en/us/support/docs/field-notices/642/fn64291.html
And in the following Cisco Blog Post:
http://blogs.cisco.com/security/urgent-proactive-customer-notification-asa
Status:
Fixed
Severity:
1 Catastrophic
Product: |
Cisco ASA 5500-X Series Firewalls
9.1(7.9) 9.2(4.15) 9.4(3.5) 9.4(4) 9.5(3) 9.6(2.1) 9.6(3) 9.7(1)
Known Fixed Releases: 100.13(0.161) 100.11(0.77) 100.8(40.131) 99.1(20.21) 99.1(10.4) 98.1(12.68) 98.1(1.123) 98.1(1.122) 98.1(0.13) 97.1(0.157) 96.2(0.139) 9.8(0.101) 9.7(1.4) 9.6(3.1) 9.6(2.16) 9.5(3.8) 9.4(4.5) 9.2(4.20) 9.1(7.16)
Sicherheitslücke im Cisco Cluster Management Protocol (CMP)
Durch eine Sicherheitslücke im Cisco Cluster Management Protocol (CMP) bei Cisco IOS und IOS XE Systemen, können Angreifer unautorisierte Befehle auf den betroffenen Devices remote ausführen und die Kontrolle über die Geräte erhalten.
Das Cisco Cluster Management Protocol (CMP) basiert auf dem Telnet Protokoll und ist daher äußerst unsicher. Cisco wird schnellstmöglich neue Software Updates für die betroffenen Geräte veröffentlichen.
Bis dahin empfiehlt der Hersteller Telnet auf betroffenen Geräte zu deaktivieren und bis zum Erscheinen der Patches vollkommen auf SSH Verbindungen zu setzen. Dies wird generell empfohlen.
Betroffene Produkte:
Cisco Catalyst 2K, Cisco Catalyst 3K, Cisco Catalyst 4K, Cisco IE 2K – 4K und ähnliche Switche
Quelle:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp
Clock Signal Component Issue
Cisco Systems hat bekanntgegeben, dass in diversen Netzwerkkomponenten Bauteile verbaut wurden, deren Lebensdauer möglicherweise begrenzt ist und nach einer Laufzeit von ca. 18 Monaten ausfallen könnten.
Um einen Ausfall (bzw. Massenausfällen) vorzubeugen, hat Cisco Systems ein „Austauschprogramm“ ins Leben gerufen.
Wir werden die Vorgehensweise innerhalb dieses Programms mit Cisco Systems abstimmen und betroffene Kunden darüber schriftlich informieren.
Weitere Informationen erhalten Sie auch unter folgendem Link:
http://www.cisco.com/c/en/us/support/web/clock-signal.html#~overview
Mehrere Open SSL Sicherheitslücken betreffen auch Cisco Produkte
Mit dem aktuellen Update schließt OpenSSL insgesamt 14 Sicherheitslücken. Eine davon ist mit der Warnstufe "hoch" versehen, da sie für Denial-of-Service-Attacken ausgenutzt werden kann. In der aktuellen Sicherheits-Warnung wird empfohlen die jüngst veröffentlichten verwundbaren Versionen 1.0.2i und 1.1.0a zu überspringen. Die Lücke in Version 1.1.0a stuft das Open SSL- Team als kritisch ein. Über einen Speicherfehler könnte ein Angreifer unter Umständen Systeme abstürzen lassen und sogar eigenen Code ausführen. Administratoren sollten zügig die fehlerbereinigte Version 1.1.0b installieren.
Information von Cisco:
On September 22, 2016, the OpenSSL Software Foundation released an advisory that describes 14 vulnerabilities. Of these 14 vulnerabilities, the OpenSSL Software Foundation classifies one as “Critical Severity,” one as “Moderate Severity,” and the other 12 as “Low Severity.”
Subsequently, on September 26, the OpenSSL Software Foundation released an additional advisory that describes two new vulnerabilities. These vulnerabilities affect the OpenSSL versions that were released to address the vulnerabilities disclosed in the previous advisory. One of the new vulnerabilities was rated as “High Severity” and the other as “Moderate Severity.”
Of the 16 released vulnerabilities:
Fourteen track issues that could result in a denial of service (DoS) condition
One (CVE-2016-2183, aka SWEET32) tracks an implementation of a Birthday attack against Transport Layer Security (TLS) block ciphers that use a 64-bit block size that could result in loss of confidentiality
One (CVE-2016-2178) is a timing side-channel attack that, in specific circumstances, could allow an attacker to derive the private DSA key that belongs to another user or service running on the same system
Five of the 16 vulnerabilities affect exclusively the recently released OpenSSL versions that belong to the 1.1.0 code train, which has not yet been integrated into any Cisco product.
Weitere Quellen und Informationen:
http://derstandard.at/2000044805235/OpenSSL-Neue-Version-schliesst-14-Sicherheitsluecken
Cisco Firepower Management Center Remote Command Execution Vulnerability
Durch eine Sicherheitslücke in der GUI des Firepower Managements und der Oberfläche der Cisco ASA 5500-X Serie mit FirePOWER Service, können Angreifer unautorisierte Befehle auf den betroffenen Devices ausführen.
Die Sicherheitslücke basiert auf einer unzureichenden Berechtigungsprüfung. Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er selbst erstellte HTTP-Anfragen an das betroffene Gerät sendet. Durch eine erfolgreiche Attacke, könnte ein Angreifer Systembefehle mit Root-Rechten ausführen.
Cisco hat zur Absicherung der betroffenen Systeme eine Reihe an Software Updates veröffentlicht.
Betroffene Produkte
Cisco Firepower Management Center und Cisco ASA 5500-X Series mit FirePOWER Services Version 5.4.0, 5.3.1, 5.3.0.4, 5.2.0, und 4.10.3.9 sind betroffen.
Veröffentlichte Software zur Beseitigung der Sicherheitslücke
- 5.3.1.2 und folgend
- 5.4.0.1 und folgend
- 5.4.1 und folgend
- 6.0.0 und folgend
Quelle: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-fmc
Cisco ASA SNMP Remote Code Execution Vulnerability
Affected Products
- Vulnerable Products
Affected Cisco ASA Software running on the following products may be affected by this vulnerability:
- Cisco ASA 5500 Series Adaptive Security Appliances
- Cisco ASA 5500-X Series Next-Generation Firewalls
- Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
- Cisco ASA 1000V Cloud Firewall
- Cisco Adaptive Security Virtual Appliance (ASAv)
- Cisco Firepower 9300 ASA Security Module
- Cisco PIX Firewalls
- Cisco Firewall Services Module (FWSM)
All versions of SNMP are affected by this vulnerability. Refer to the "Fixed Software" section of this security advisory for more information about the affected releases.
Fixed Releases
All Cisco ASA releases are affected. Cisco is working on fixes for supported releases.
Workarounds
- Administrators are advised to allow only trusted users to have SNMP access and to monitor affected systems using the snmp-server host command.
Cisco ASA CLI Remote Code Execution Vulnerability
Medium
Affected Products
- Vulnerable Products
Cisco Adaptive Security Appliance (ASA) Software Releases earlier than 8.4(1) are vulnerable. An attacker must have local access and be authenticated to exploit this vulnerability.
Affected Cisco ASA Software running on the following products may be affected by this vulnerability:
- Cisco ASA 5500 Series Adaptive Security Appliances
- Cisco ASA 5500-X Series Next-Generation Firewalls
- Cisco PIX Firewalls
- Cisco Firewall Services Module (FWSM)
Refer to the "Fixed Software" section for additional information about fixed releases.
Fixed Software
- When considering software upgrades, customers are advised to regularly consult the advisories for Cisco products, which are available from the Cisco Security Advisories and Alerts page, to determine exposure and a complete upgrade solution.
In all cases, customers should ensure that the devices to be upgraded contain sufficient memory and confirm that current hardware and software configurations will continue to be supported properly by the new release. If the information is not clear, customers are advised to contact the Cisco Technical Assistance Center (TAC) or their contracted maintenance providers.
Fixed Releases
This vulnerability has been fixed in Cisco ASA Software Releases 8.4.1 and later. All previous releases are affected.
Weitere Infos:
https://blogs.cisco.com/security/shadow-brokers
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-cli
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-cli
http://www.heise.de/security/meldung/Geleakte-NSA-Exploits-Cisco-patcht-Zero-Day-Luecke-3298838.html