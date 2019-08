Das CERT des BSI (CERT-Bund) weist in einer aktuellen Warnmeldung auf insgesamt vier Sicherheitslücken in Software für die "Firepower"-Firewall von Cisco hin. CERT-Bund schätzt das von ihnen ausgehende Risiko als "hoch" ein. Anders als Cisco selbst: Die Einstufung des Herstellers lautet in allen vier Fällen "Medium" mit einem CVSS-Base-Score von 5.8 von möglichen 10.0.

Betroffen sind laut Ciscos Security Advisories zu CVE-2019-1978, CVE-2019-1980, CVE-2019-1981 und CVE-2019-1982 alle Versionen der Software Firepower Threat Defense, Firepower Management Center sowie der FirePOWER Services für ASA (Adaptive Security Appliance).

Neben CERT-Bund (Kurzinfo CB-K19/0735) hat auch das CERT des Deutschen Forschungsnetzes (DFN-CERT) ein Advisory veröffentlicht.

Umgehung des Firewall-Schutzes

Ciscos Beschreibungen zufolge könnten Angreifer die Lücken aus der Ferne ohne vorherige Authentifizierung und ohne jegliche Nutzerinteraktion missbrauchen, um die Filtermechanismen der Firewall zu umgehen. Je nach auszunutzender Lücke bestehen die hierfür benötigten "Angriffswerkzeuge" aus speziell präparierten Datenpaketen beziehungsweise -strömen. Nähere Details sind den verlinkten Advisories zu entnehmen.

Warum die Gefahreneinschätzungen von Cisco und CERT-Bund deutlich voneinander abweichen und wer die Gefahr möglicherweise über- oder unterschätzt, ist bislang unklar. heise Security hat das CERT schriftlich um ein diesbezügliches Statement gebeten.

Bislang keine Updates oder Workarounds verfügbar

Bis zur Veröffentlichung dieser Meldung hat Cisco noch keine Sicherheitsupdates bereitgestellt. Laut den Advisories gibt es auch keine Workarounds.

Betreiber von Appliances mit Firepower-Software sollten sicherheitshalber alternative oder zusätzliche Schutzmaßnahmen für ihre Netzwerke ergreifen und Ausschau nach Aktualisierungen der Security Advisories halten. Registrierte Kunden können per Klick auf die in den Advisories angegebenen Bug-IDs detailliertere Informationen zu CVEs und betroffenen beziehungsweise gefixten Releases abrufen. (ovw)