Alert!

Cisco: Angreifer könnten an private RSA-Schlüssel in ASA und Firepower gelangen

Der Netzwerkausrüster Cisco schließt mit aktualisierter Software eine Sicherheitslücke in ASA und Firepower. Angreifer könnten private RSA-Keys auslesen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 13 Beiträge
Aufmacher Cisco-Updates

(Bild: thetahoeguy/Shutterstock.com)

Von

Eine Sicherheitslücke in Cisco ASA und Firepower könnten Angreifer missbrauchen, um private Schlüssel auszulesen. Zudem ermöglicht eine weitere Lücke, browserbasierte Angriffe auszuführen. Der Hersteller stellt teils aktualisierte Software bereit, um eine der Schwachstellen auszubessern.

Aufgrund eines Logikfehlers in der Software beim Speichern von RSA-Schlüsseln im Hauptspeicher auf Plattformen, die hardwareunterstützte Kryptografie anbieten, könnten nicht authentifizierte Angreifer aus dem Netz an private RSA-Schlüssel gelangen (CVE-2022-20866, CVSS 7.4, Risiko "hoch"). Dazu müsse ein Angreifer eine sogenannte Lenstra-Seitenkanal-Attacke gegen ein verwundbares Gerät starten.

Betroffen von der Lücke sind die Cisco-Appliances ASA 5506-X, ASA 5506H-X, ASA 5506W-X, ASA 5508-X sowie ASA 5516-X jeweils mit den Firepower-Services. Außerdem noch Ciscos Firepower 1000 Series Next-Generation Firewall sowie die Firepower-Baureihen 2100, 4100 und 9300 und schließlich die Secure Firewall 3100. Die Software ASA 9.16.3.19, 9.17.1.13 und 9.18.2 sowie FTD 7.0.4, 7.1.0.2, 7.1.0.3 und 7.2.0.1 beheben die Schwachstellen.

Ältere Versionen sind nicht verwundbar, solange die RSA-Schlüssel nicht mit einer angreifbaren ASA- oder FTD-Version erstellt wurden. In der Sicherheitsmeldung erläutert Cisco detailliert, wie sich kompromittierte Geräte respektive Schlüssel erkennen lassen und wie Administratoren vorgehen sollten.

Weiter warnt Cisco vor einer Sicherheitslücke in Cisco ASA Clientless SSL VPN. Hier könnten unangemeldete Angreifer aus dem Netz Opfern unter Umständen Anfragen unterschieben und so browserbasierte Angriffe starten. Dies gelingt etwa, indem bösartige Akteure Opfer auf manipulierte Webseiten locken (CVE-2022-20713, CVSS 4.3, mittel).

Der Hersteller führt in der Sicherheitsmeldung aus, dass Proof-of-Concept-Code öffentlich bereitsteht, der die Lücke demonstriert. Betroffen sind Geräte, die die ASA-Software in Version 9.17 oder älter ausführen und Clientless SSL-VPN aktiviert haben – dies unterstützt Cisco nicht mehr, stuft es daher als "Depricated" ein und emfpiehlt Administratoren, die Funktion zu deaktivieren. Ein Software-Update zum beheben des Fehlers gibt es nicht.

Administratoren sollten die aktualisierten Software-Versionen zügig herunterladen und installieren. Gegebenenfalls sollten sie zudem die empfohlenen Prüfungen vornehmen, um sicherzustellen, dass eingesetzte RSA-Schlüssel nicht kompromittiert wurden.

Lesen Sie dazu auch:

Themenseite zu Cisco auf heise online

(dmk)