Die Sicherheitsmeldungen zum CDP Protokoll für Ciscos FXOS und NX-OS sehen wir als kritisch an. Das OSPFv3 Protokoll ist mit einer Sicherheitslücke zum Denial of Service betroffen. Da das Protokoll auf Ciscos FXOS und NX-OS per Default deaktiviert ist, sollten Sie prüfen, ob dieses auf ihren Systemen aktiviert wurde und so tatsächlich eine Bedrohung für Ihr Netzwerk besteht. Im Gegensatz zur CDP Lücke sind ausschließlich die physischen Nexus Serien betroffen.

Ein Update, oder das Deaktivieren dieses Dienstes behebt die Sicherheitslücke. Das Aktivieren von OSPFv3 Authentication, kann das Angriffs-Risiko reduzieren.

Wir möchten hervorheben, dass

• es keinen Workaround gibt.
• die Lücke mit einem Softwareupdate (Release Liste bei Cisco einzusehen) geschlossen wird
• sollte kein Update eingespielt werden können, kann die Lücke mit dem zentralen Abschalten des CDP Protokolls nicht ausgenutzt werden und mit dem Abschalten des Protokolls auf einzelnen Interfacen kann das Risiko reduziert werden. Hier gilt es individuell Risiko gegen Nutzen abzuwägen.

Eine ausführliche Beschreibung zum Prüfen und Beheben kann den Cisco Advisories entnommen werden.Weitere Details können Sie unter folgenden Links einsehen:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-cdp-dos-ce-wWvPucC9

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-ospfv3-dos-48qutcu

https://www.heise.de/news/Luecken-in-Ciscos-FXOS-und-NX-OS-ermoeglichen-Uebernahme-der-Kontrolle-7244032.html
 

Als übergreifende Information: Der Nexus 5x00 ist als betroffen gelistet, jedoch ist kein SW Update verfügbar. Das Produkt ist seit 04/2021 EoL

Kritische Schwachstelle bei Cisco Firewalls FTD und ASA, Kritikalität „Hoch“

Ein SW-Update auf den Firewalls wird dringend empfohlen. Betroffen sind alle Nutzer die Client-to-Site-VPN nutzen oder aber das VPN-Portal.

Es ist möglich bei den Cisco FTD Root Rechte zu erlangen und Cisco ASAs in eine Dauerbootschleife zu zwingen.

Angreifer können u.a. die Privilegstufe 15 erreichen und könnten so auf Management-Tools wie Cisco Security Manager zugreifen.

Aufgrund eines Fehlers in einer IPsec-VPN-Bibliothek (CVE-2022-20742 "hoch") könnte sich ein Angreifer ebenso

als Man-in-the-Middle in Verbindungen einklinken und Daten mitschneiden.

Bitte die entsprechenden Handlungshinweise in den angehängten Links beachten.

Liste nach Bedrohungsgrad absteigend sortiert:

• Adaptive Security Appliance Software and Firepower Threat Defense Software Web Services Interface Privilege Escalation
• Firepower Threat Defense Software TCP Proxy Denial of Service
• Firepower Threat Defense Software Snort Out of Memory Denial of Service
• Firepower Threat Defense Software Denial of Service
• Adaptive Security Appliance Software and Firepower Threat Defense Software DNS Inspection Denial of Service
• Adaptive Security Appliance Software and Firepower Threat Defense Software Web Services Interface Denial of Service
• Firepower Threat Defense Software DNS Enforcement Denial of Service
• Adaptive Security Appliance Software and Firepower Threat Defense Software Remote Access SSL VPN Denial of Service
• Adaptive Security Appliance Software Clientless SSL VPN Heap Overflow
• Adaptive Security Appliance Software and Firepower Threat Defense Software IPsec IKEv2 VPN Information Disclosure
• Firepower Management Center Software Cross-Site Scripting
• Firepower Threat Defense Software Local Malware Analysis Denial of Service
• Firepower Threat Defense Software XML Injection
• Firepower Management Center Software Information Disclosure
• Firepower Threat Defense Software Security Intelligence DNS Feed Bypass

Falls Sie Unterstützung benötigen sollten, melden Sie sich gerne bei uns.  

­­­

Kritische Schwachstelle in Cisco WLAN Controller

Cisco hat uns über Schwachstellen bei Cisco Geräten, insbesondere bei WLAN Controllern informiert.

Die Kritikalität ist Kritisch / Hoch / Medium.

Die Cisco Sec. Bulletins weisen in allen Fällen auf einen Workaround und/oder Patch hin, der für die einzelnen Sicherheitslöcher bereitgestellt wird.

In den Bulletins werden in einzelnen auf die betroffene Release hingewiesen. Bei anderen sind alle Releases betroffen.

Bitte prüfen Sie die aktuellen Konfigurationen und nutzen Sie die Updates/Patches oder Workarounds, die von Cisco bereitgestellt werden (siehe Links)

Die „kritische“ Schwachstelle (CVE-2022-20695) betrifft Wireless LAN Controller (WLC). Aufgrund von Fehlern im Überprüfungsalgorithmus für Passwörter könnten Angreifer am Management Interface ansetzen und sich mit speziell erstellen Anmeldeinformationen als Admin Zugang verschaffen.

Der Großteil der verbleibenden Schwachstellen ist mit dem Bedrohungsgrad „hoch“ eingestuft.

Davon sind etwa das Netzwerkbetriebssystem IOS XE und die Netzwerk-Management-Lösung SD-WAN betroffen. Hier könnte sich beispielsweise ein lokaler Angreifer auf nicht näher beschriebenem Weg in SD-WAN einklinken, Dateien modifizieren und am Ende mit Root-Rechten dastehen.

Netzwerk-Admins von Cisco-Geräten sollten die Software auf den aktuellen Stand bringen. Geschieht dies nicht, könnten Angreifer Dienste lahmlegen oder sogar die volle Kontrolle über Systeme erlangen. In den unterhalb dieser Meldung verlinkten Warnmeldungen findet man Hinweise zu abgesicherten Versionen.

Betroffene Cisco-Komponenten:

• Cisco Wireless LAN Controller Management Interface Authentication Bypass Vulnerability à CVE-2022-20695 (Link) à Kritisch
  • 3504 Wireless Controller
  • 5520 Wireless Controller
  • 8540 Wireless Controller
  • Mobility Express
  • Virtual Wireless Controller (vWLC)
• Cisco IOS XE Software for Cisco Catalyst 9000 Family Switches and Catalyst 9000 Family Wireless Controllers Privilege Escalation Vulnerability à CVE-2022-20681  (Link) à Hoch
  • Catalyst 9300 Series Switches
  • Catalyst 9400 Series Switches
  • Catalyst 9500 Series Switches
  • Catalyst 9800 Embedded Wireless Controllers for Catalyst 9300, 9400, and 9500 Series Switches
  • Catalyst 9800 Series Wireless Controllers
  • Catalyst 9800-CL Wireless Controllers for Cloud
  • Embedded Wireless Controllers on Catalyst Access Points
• Cisco IOS XE Wireless Controller Software for the Catalyst 9000 Family SNMP Trap Denial of Service Vulnerability à CVE-2022-20684 (Link) à Hoch

• Catalyst 9800 Embedded Wireless Controllers for Catalyst 9300, 9400, and 9500 Series Switches
• Catalyst 9800 Series Wireless Controllers
• Catalyst 9800-CL Wireless Controllers for Cloud
• Embedded Wireless Controllers on Catalyst Access Points

• Cisco IOS XE Software for Catalyst 9800 Series Wireless Controllers Application Visibility and Control Denial of Service Vulnerability à CVE-2022-20683 (Link) à Hoch

• Catalyst 9800 Series Wireless Controllers
• Catalyst 9800-CL Wireless Controllers for Cloud

• Cisco IOS XE Wireless Controller Software for the Catalyst 9000 Family CAPWAP Denial of Service Vulnerability à CVE-2022-20682 (Link) à Hoch

• Catalyst 9800 Embedded Wireless Controllers for Catalyst 9300, 9400, and 9500 Series Switches
• Catalyst 9800 Series Wireless Controllers
• Catalyst 9800-CL Wireless Controllers for Cloud
• Embedded Wireless Controllers on Catalyst Access Points

• Cisco Embedded Wireless Controller with Catalyst Access Points IP Flood Denial of Service Vulnerability à CVE-2022-20622 (Link) à Hoch
  • Embedded Wireless Controller with Catalyst Access Points Software
• Cisco IOS XE Software IPSec Denial of Service Vulnerability à CVE-2022-20679  (Link) à Medium
  • 1000 Series Integrated Services Routers
  • 4221 Integrated Services Routers
  • 4321 Integrated Services Routers
  • 4331 Integrated Services Routers
  • 4351 Integrated Services Routers
  • Catalyst 8200 Series Edge Platform
  • Catalyst 8300 Series Edge Platform