Cisco schließt mehrere Sicherheitslücken

In den letzten Wochen und Monaten haben wir und unsere Kunden uns mit einigen Sicherheitslücken verschiedener Produkte des Herstellers Cisco Systems auseinandersetzen müssen. Dabei waren die nachfolgenden drei Lücken von besonderem Interesse:

• Cisco Firepower Management Center Software Command Injection Vulnerability, CVE-2023-20048
• Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature, CVE-2023-20198
• Cisco AnyConnect VPN ohne Multi-Faktor-Authentifizierung, CVE-2023-20269

Die drei CVEs betreffen unterschiedliche Systeme der Produktpalette von Cisco und sind bereits einige Wochen alt. Während wir innerhalb kürzester Zeit bei unseren Kunden die entsprechenden Gegenmaßnahmen, Software–Updates und Workarounds platziert haben, möchten wir im Nachgang die Gelegenheit nutzen, um noch einmal auf die Sicherheitslücken aufmerksam zu machen und die einfachen, aber effektiven Lösungen aufzeigen.

Das CVE-2023-20048 des Cisco Firepower Management Centers ist nur mit authentifizierten Benutzerdaten ausnutzbar, lässt im Anschluss aber nicht berechtigte Konfigurationsänderungen zu und hat daher einen CVE-Score von 9.9. Cisco hat bereits zeitnah entsprechende Software-Updates zur Verfügung gestellt und die Sicherheitslücke geschlossen. Ein Update des FMC ist meist ohne Einfluss auf den eigentlichen Firewall-Traffic und damit während der Dienstzeit möglich. Lediglich die Next-Gen-Features der Firepower Firewall können nach Durchführung des Updates und des anschließenden Policy-Deployments kurzzeitig nicht zur Verfügung stehen. Ob Ihr Firepower Management Center von der Sicherheitslücke betroffen ist, können Sie unter dem nachfolgenden Cisco-Link prüfen:

Sicherheitslücke prüfen

Das CVE-2023-20198 der Cisco IOS-XE-Geräte mit dem CVE-Score von 10 erlaubt es, unauthentifizierten Angreifern Voll-Zugriff auf die Admin-Weboberfläche zu erlangen und anschließend eigene Admin-User anzulegen. Besonders kritisch ist dies, wenn die Weboberfläche von Perimeter-Geräten aus dem Internet erreichbar ist. Aber auch im internen Netzwerk stellt dies ein nicht zu vernachlässigendes Sicherheitsrisiko dar. Betroffen sind alle Geräte, auf denen Cisco IOS-XE-Code ausgeführt wird, also:

• 3850er, 9200er, 9300er, 9400er und 9500er Cisco Catalyst Switches
• 9800er Cisco WLAN-Controller
• 8200er und 8500er Cisco Catalyst-Router

Die connecT-Empfehlung ist grundsätzlich, das Web-Interface der IOS-XE-Geräte zu deaktivieren. Die Administration ist vollumfänglich über den SSH-Zugang bzw. den Einsatz des Cisco-DNA-Centers möglich. Die Sicherheitslücke kann daher mit den Befehlen „no ip http server“ und „no ip http secure-server“ relativ simpel geschlossen werden.

Auf das Thema „Cisco AnyConnect VPN-Client ohne Multi-Faktor-Authentifizierung“ macht der Hersteller unter nachfolgendem Artikel selbst aufmerksam und warnt davor, dass der AnyConnect-Client ohne MFA bereits für ungewollte Zugriffe ausgenutzt wurde:

Hier geht es zum Artikel

Wir haben bereits ebenfalls nicht gewollte Zugriffsversuche auf bereitgestellte AnyConnect-Verbindungen beobachten können und möchten an dieser Stelle noch einmal für den Einsatz von Multi-Faktor-Authentifizierungen Werbung machen. Viele Unternehmen setzen z.B. bereits Microsoft Azure ein – mit diesem Produkt lässt sich der AnyConnect super über die Cisco ISE oder den Microsoft Richtlinien-Server „verheiraten“ und daher eine unkomplizierte MFA realisieren. Aber auch mit AnyConnect-Boardmitteln und dem Einsatz des sog. Hostscans lässt sich zumindest eine abgeschwächte Form der Multi-Faktor-Authentifizierung realisieren und die beschriebenen Angriffsversuche aus dem Cisco-Blog-Beitrag abwehren.

Gerne stehen wir Ihnen bei Fragen zu diesen Themen zur Verfügung!