Certified Security Operations Center GmbH

17. August 2022

Cisco Sicherheitslücke mit hohem Schweregrad entdeckt

Cisco hat am 10.08.2022 Patches veröffentlicht, um mehrere Schwachstellen in seiner Software zu beheben, die dazu missbraucht werden könnten, sensible Informationen auf anfälligen Geräten auszuspähen.

Die Schwachstelle mit der Kennung CVE-2022-20866 (CVSS-Score: 7.4) wurde als „Logikfehler“ bei der Handhabung von RSA-Schlüsseln auf Geräten mit Cisco Adaptive Security Appliance (ASA) Software und Cisco Firepower Threat Defense (FTD) Software beschrieben.

Mithilfe eines Lenstra-Seitenkanalangriffs könnten Angreifer diese Schwachstelle ausnutzen und private RSA-Schlüssel abrufen. RSA wird mit dieser Angriffsmethode nicht unmittelbar angegriffen. Vielmehr wird hier ein unerwartetes Verhalten der Implementierung ausgenutzt. RSA und die RSA-CRT-Optimierung mit entsprechender Härtung gelten nach wie vor als sicher.

Cisco hat darauf hingewiesen, dass der Fehler nur die Cisco ASA Software-Versionen 9.16.1 und höher sowie die Cisco FTD Software-Versionen 7.0.0 und höher betrifft. Die betroffenen Produkte sind im Folgenden aufgeführt:

  • ASA 5506-X mit FirePOWER-Diensten,
  • ASA 5506H-X mit FirePOWER-Diensten,
  • ASA 5506W-X mit FirePOWER-Diensten,
  • ASA 5508-X mit FirePOWER-Diensten,
  • ASA 5516-X mit FirePOWER-Diensten,
  • Firepower Firewall der Serie 1000 der nächsten Generation,
  • Firepower Sicherheitsgeräte der Serie 2100,
  • Firepower Sicherheitsgeräte der Serie 4100,
  • Firepower Sicherheitsgeräte der Serie 9300 und
  • Secure Firewall 3100.

Die ASA-Softwareversionen 9.16.3.19, 9.17.1.13 und 9.18.2 sowie die FTD-Softwareversionen 7.0.4, 7.1.0.2-2 und 7.2.0.1 wurden veröffentlicht, um die Sicherheitslücke zu schließen.

Ebenfalls wurde von Cisco ein clientseitiger Request Smuggling-Fehler in der Clientless SSL VPN (WebVPN)-Komponente der Cisco Adaptive Security Appliance (ASA) Software gepatcht, der es einem Angreifer ermöglichen könnte, browserbasierte Angriffe wie Cross-Site Scripting durchzuführen.

Unsere Handlungsempfehlungen:

  • Aufgrund des Schweregrads der Schwachstelle müssen Administratoren von Cisco ASA- oder FTD-Geräten möglicherweise anfällige RSA-Schlüssel entfernen und alle mit diesen RSA-Schlüsseln verbundenen Zertifikate widerrufen. Denn es ist möglich, dass der private RSA-Schlüssel an einen potentiellen Angreifer weitergegeben wurde.
  • Es wird empfohlen, sich an das Cisco TAC oder an den beauftragten Wartungsdienstleister zu wenden, wenn weitere Unterstützung benötigt wird.
  • Die veröffentlichten Patches, siehe Quellen, sollten zeitnah ausgerollt werden.

Quellen:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-rsa-key-leak-Ms7UEfZz

https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html

error: