Cisco-ASA-Firewalls hacken per Metasploit und Open-Source-Tools

Ein Forscher hat zahlreiche Tools und Metasploit-Module zum Hacken von Cisco-Firewalls veröffentlicht. Ein aktuelles Update hilft nicht gegen eines der Tools.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 7 Beiträge
Aufmacher Cisco ASA-Hacks auf BH22

(Bild: bluesroad/Shutterstock.com)

Von
  • Uli Ries

Jacob Baines, Lead Security Researcher beim Metasploit-Macher Rapid7, hat während der kürzlich zu Ende gegangenen Sicherheitskonferenz Black Hat 2022 einen ganzen Strauß an Möglichkeiten präsentiert, um Firewalls der Cisco-ASA-Familie zu hacken. Baines hat alle beschriebenen Tools und Metasploit-Module inzwischen veröffentlicht.

Die meisten der beschriebenen Lücken hat Cisco am Tag des Vortrags per Sicherheitsupdate geschlossen. Eines der Einfallstore sieht Cisco laut Baines nicht als Schwachstelle und das Update für CVE2021-1585 bleibt offenbar wirkungslos. Wie der Forscher inzwischen mit einem Video belegt, macht sein staystaystay genanntes Tool trotz Patch nach wie vor eine Reverse Shell zum Angreifer auf.

Der attackierte Firewall-Administrator bekommt nach dem Update auf seinem Windows-Rechner lediglich einen Warnhinweis angezeigt, dass er sich mit einer veralteten Version des Adaptive Security Device Managers (ASDM) verbindet. Damit bleibt die Cisco seit über einem Jahr bekannte Lücke nach Ansicht von Jacob Baines weiterhin offen.

Wenngleich ASA-Kunden ihre Firewalls offenbar ohnehin nur selten patchen: Laut einem Blogbeitrag von Rapid 7 zeigte ein Scan im Juni 2022, dass die Mehrzahl der aus dem Internet erreichbaren ASDM-Installationen auf einer fünf Jahre alten Version der Software läuft. Im gleichen Blog beschreiben die Autoren zudem sämtliche der von Baines entdeckten Lücken ausführlich.

Der Großteil dieser Attacken setzt entweder einen Innentäter voraus, baut auf eine Supply-Chain-Attacke (Installation bösartiger Software vor der Auslieferung an den Kunden) oder setzt darauf, dass ein Firewall-Admin modifizierte Software auf der Firewall installiert.

Im Fall von staystaystay muss der Angreifer Admins dazu bewegen, ihren ASDM-Launcher mit einer bösartigen ASDM-Instanz zu verbinden. Cisco verzichtet nach eigenen Angaben bislang in der Client-Software auf einen Check der digitalen Signatur des von der Firewall an den Client geschickten Files. Somit lassen sich von beliebigen ASDM-Instanzen beliebige Dateien an den Launcher schicken und von diesem ausführen.

Um diese vom Web-Server der ASA im Cisco-eigenen .sgz-Format zum Thick Client des Admins geschickten Dateien einfacher manipulieren zu können, hat Baines mit Getchoo ein eigenes Tool programmiert. Die weiteren Tools und Metasploit-Module finden sich ebenfalls auf Github.

Befindet sich der Angreifer bereits im internen Netz des Opfers, kann er das manipulierte sgz-File einfach als Man-in-the-Middle (MitM) in den Datenverkehr einschleusen: Zwar kommunizieren Firewall und Launcher per SSL/TLS. Der Client verifiziert laut Jacob Baines das Server-Zertifikat jedoch nicht, sodass sich sämtliche Datentransfers belauschen oder verändern lassen.

Ist die MitM-Attacke nicht möglich, könnten kriminelle Hacker die sgz-Datei mit Hilfe des The Way genannten Tools auch direkt in ein Binärpaket für die ASDM-Installation stecken: Die Installationspakete waren laut Baines nicht digital signiert. Cisco will das per Update nun nachgeholt haben.

Verbindet sich ein Admin mit einer bösartig manipulierten ASDM-Installation, können Angreifer beliebigen Code auf der Admin-Maschine ausführen. Zwar lässt sich ASDM nicht einfach übers Internet auf irgendwelchen ASA-Firewalls installieren. Laut Baines ist es jedoch denkbar, dass kriminelle Insider, bösartige Service-Provider oder (Wieder-)Verkäufer dies etwa als Supply-Chain-Attacke erledigen. Eventuell fallen Firewall-Admins auch auf Gratis-Downloads aus dubiosen Quellen herein – Cisco selbst verlangt einen gültigen Support-Vertrag für ASDM-Downloads.

Jacob Baines hat darüber hinaus diverse Schwachstellen in den seit Jahren verkauften ASA-X-Modellen gefunden. Dreh- und Angelpunkt der Angriffe sind die Firepower-Services, einer auf der Firewall installierten virtuellen Maschine, auf der die Open-Source-IPS-Software Snort läuft.

Einige dieser im Rapid7-Blog beschriebenen Lücken hat Cisco per Update behoben. Dass sich mangels entsprechender Sicherheitsmechanismen beliebige Linux-ISOs beziehungsweise mit Hintertüren versehene Firepower-Services auf einer ASA-X-Firewall installieren und starten lassen, sieht Cisco jedoch nicht als Sicherheitslücke.

(dmk)