Cisco Sicherheitslücke mit hohem Schweregrad entdeckt

Cisco Sicherheitslücke mit hohem Schweregrad entdeckt

Cisco Sicherheitslücke mit hohem Schweregrad entdeckt

Cisco hat am 10.08.2022 Patches veröffentlicht, um mehrere Schwachstellen in seiner Software zu beheben, die dazu missbraucht werden könnten, sensible Informationen auf anfälligen Geräten auszuspähen.

Die Schwachstelle mit der Kennung CVE-2022-20866 (CVSS-Score: 7.4) wurde als "Logikfehler" bei der Handhabung von RSA-Schlüsseln auf Geräten mit Cisco Adaptive Security Appliance (ASA) Software und Cisco Firepower Threat Defense (FTD) Software beschrieben.

Mithilfe eines Lenstra-Seitenkanalangriffs könnten Angreifer diese Schwachstelle ausnutzen und private RSA-Schlüssel abrufen. RSA wird mit dieser Angriffsmethode nicht unmittelbar angegriffen. Vielmehr wird hier ein unerwartetes Verhalten der Implementierung ausgenutzt. RSA und die RSA-CRT-Optimierung mit entsprechender Härtung gelten nach wie vor als sicher.

Cisco hat darauf hingewiesen, dass der Fehler nur die Cisco ASA Software-Versionen 9.16.1 und höher sowie die Cisco FTD Software-Versionen 7.0.0 und höher betrifft. Die betroffenen Produkte sind im Folgenden aufgeführt:

  • ASA 5506-X mit FirePOWER-Diensten,
  • ASA 5506H-X mit FirePOWER-Diensten,
  • ASA 5506W-X mit FirePOWER-Diensten,
  • ASA 5508-X mit FirePOWER-Diensten,
  • ASA 5516-X mit FirePOWER-Diensten,
  • Firepower Firewall der Serie 1000 der nächsten Generation,
  • Firepower Sicherheitsgeräte der Serie 2100,
  • Firepower Sicherheitsgeräte der Serie 4100,
  • Firepower Sicherheitsgeräte der Serie 9300 und
  • Secure Firewall 3100.

Die ASA-Softwareversionen 9.16.3.19, 9.17.1.13 und 9.18.2 sowie die FTD-Softwareversionen 7.0.4, 7.1.0.2-2 und 7.2.0.1 wurden veröffentlicht, um die Sicherheitslücke zu schließen.

Ebenfalls wurde von Cisco ein clientseitiger Request Smuggling-Fehler in der Clientless SSL VPN (WebVPN)-Komponente der Cisco Adaptive Security Appliance (ASA) Software gepatcht, der es einem Angreifer  ermöglichen könnte, browserbasierte Angriffe wie Cross-Site Scripting durchzuführen.

Unsere Handlungsempfehlungen:

- Aufgrund des Schweregrads der Schwachstelle müssen Administratoren von Cisco ASA- oder FTD-Geräten möglicherweise anfällige RSA-Schlüssel entfernen und alle mit diesen RSA-Schlüsseln verbundenen Zertifikate widerrufen. Denn es ist möglich, dass der private RSA-Schlüssel an einen potentiellen Angreifer weitergegeben wurde.

- Es wird empfohlen, sich an das Cisco TAC oder an den beauftragten Wartungsdienstleister zu wenden, wenn weitere Unterstützung benötigt wird.

-Die veröffentlichten Patches, siehe Quellen, sollten zeitnah ausgerollt werden.

Quellen:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-rsa-key-leak-Ms7UEfZz

https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html

Industrieunternehmen und öffentliche Einrichtungen im Visier von chinesischen Hackern

Industrieunternehmen und öffentliche Einrichtungen im Visier von chinesischen Hackern

Industrieunternehmen und öffentliche Einrichtungen im Visier von chinesischen Hackern

Mehr als ein Dutzend Unternehmen aus dem Militär- und Industriesektor sowie öffentliche Einrichtungen aus Europa und Afghanistan sind seit Januar 2022 Opfer einer neuen Angriffswelle geworden.

Hinter diesen Angriffen steht vermutlich eine mit China verbundene Hackergruppe mit dem Namen TA428. TA428, auch bekannt unter den Namen Bronze Dudley, Temp.Hex und Vicious Panda, hat in der Vergangenheit vermehrt Einrichtungen in der Ukraine, Russland, Weißrussland und der Mongolei angegriffen. Es wird angenommen, dass sie Verbindungen zu einer weiteren Hackergruppe namens Mustang Panda (auch bekannt als Bronze President) hat.

Die Angriffe zielen darauf ab, vertrauliche Daten zu stehlen. Hierfür dringen die Angreifer in die IT-Netzwerke der Unternehmen ein. Als Instrument dienen sorgfältig gestaltete Phishing-E-Mails, darunter einige, die auf nicht öffentliche Informationen der Organisationen verweisen, um die Empfänger dazu zu bringen, manipulierte Microsoft Word-Dokumente zu öffnen. Diese „Köder-Dateien“ enthalten Exploits eines Speicherfehlers in der Equation Editor-Komponente (CVE-2017-11882), der zur Ausführung von beliebigem Code in den betroffenen Systemen führen kann. Hierdurch entsteht für die Angreifer eine Hintertür namens PortDoor, die für die weiteren Angriffsschritte dient. Im Anschluss kapert der Angreifer den Domänencontroller und erlangt somit die vollständige Kontrolle über alle Workstations und Server des Unternehmens. Hierfür nutzt er den privilegierten Zugriff, um relevante Dateien in Form komprimierter ZIP-Archive auf einen Remote-Server in China zu exfiltrieren.

Unsere Handlungsempfehlungen:

- Prüfen Sie vor dem Öffnen von Office-Dokumenten genau den Absender
- Office-Dokumente sollten nur in Ausnahmefällen zur externen Kommunikation genutzt werden
- Schalten Sie das Ausführen von Macros grundsätzlich ab und aktivieren Sie die Ausführung nur, wenn Sie den Absender verifiziert haben und kennen
- Halten Sie Ihre Systeme auf dem neusten Stand (Updates)

Quellen:

https://www.proofpoint.com/us/threat-insight/post/chinese-apt-operation-lagtime-it-targets-government-information-technology

https://malpedia.caad.fkie.fraunhofer.de/actor/ta428

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2017-11882