{"id":29377,"date":"2022-10-13T14:24:46","date_gmt":"2022-10-13T12:24:46","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29377"},"modified":"2022-10-13T14:24:46","modified_gmt":"2022-10-13T12:24:46","slug":"defcon30-cisco-updates-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/defcon30-cisco-updates-vulnerabilities\/29377\/","title":{"rendered":"Anf\u00e4llige Updates in Unternehmenssoftware von Cisco"},"content":{"rendered":"<p>Nur wenige der Pr\u00e4sentationen auf der diesj\u00e4hrigen Black Hat-Konferenz im August 2022 waren f\u00fcr Systemadministratoren und Sicherheitsbeauftragte von praktischem Nutzen: Eine willkommene Ausnahme stellte allerdings der Bericht des Forschers Jacob Baines von Rapid7 dar, der die Unternehmenssoftware von Cisco analysierte und dabei mehrere Schwachstellen aufdeckte, die er detailliert erl\u00e4uterte; Jacobs Ergebnisse sind als <a href=\"https:\/\/i.blackhat.com\/USA-22\/Thursday\/US-22-Baines-Do-Not-Trust-The-ASA-Trojans.pdf\" target=\"_blank\" rel=\"noopener nofollow\">Pr\u00e4sentation<\/a>, in einem detaillierten <a href=\"https:\/\/www.rapid7.com\/blog\/post\/2022\/08\/11\/rapid7-discovered-vulnerabilities-in-cisco-asa-asdm-and-firepower-services-software\/\" target=\"_blank\" rel=\"noopener nofollow\">Bericht<\/a> sowie auf <a href=\"https:\/\/github.com\/jbaines-r7\/cisco_asa_research\" target=\"_blank\" rel=\"noopener nofollow\">GitHub<\/a> verf\u00fcgbar.<\/p>\n<p>Jacob entdeckte 10 Schwachstellen, die die Cisco Adaptive Security Software, den Adaptive Security Device Manager und die Firepower Services Software f\u00fcr ASA betreffen. Diese Softwarel\u00f6sungen verwalten verschiedene Cisco-Systeme f\u00fcr Unternehmensanwender, einschlie\u00dflich Hardware-Firewalls und End-to-End-Sicherheitsl\u00f6sungen f\u00fcr Unternehmen. Sieben dieser Probleme wurden von Cisco selbst als Schwachstellen anerkannt, w\u00e4hrend die \u00fcbrigen drei \u2013 laut Hersteller \u2013 keine Auswirkungen auf die Sicherheit haben. Zum Zeitpunkt der Ver\u00f6ffentlichung waren zwei der sieben Sicherheitsl\u00fccken noch nicht geschlossen \u2013 obwohl Rapid7 sie bereits zwischen Februar und M\u00e4rz 2022 an Cisco gemeldet hatte (eine weitere wurde angeblich seitdem geschlossen).<\/p>\n<h2>Um welche Schwachstellen geht es?<\/h2>\n<p>Werfen wir einen Blick auf zwei der bemerkenswertesten Schwachstellen. Die Sicherheitsl\u00fccke <a href=\"https:\/\/tools.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-asa-asdm-sig-NPKvwDjm\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2022-20829<\/a> steht im Zusammenhang mit der in der Cisco ASA-Software verwendeten Methode zur Bereitstellung von Updates. Die Schwachstelle ist so trivial, dass bin\u00e4re Update-Pakete w\u00e4hrend der Bereitstellung \u00fcberhaupt nicht \u00fcberpr\u00fcft werden; es gibt keine Pr\u00fcfung der digitalen Signatur. Rapid7 zeigte, wie man Cisco ASDM-Bin\u00e4rpakete modifizieren kann, um w\u00e4hrend ihrer Verarbeitung beliebigen Code auszuf\u00fchren.<\/p>\n<p>Die zweite erw\u00e4hnenswerte Sicherheitsl\u00fccke ist <a href=\"https:\/\/tools.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-asdm-rce-gqjShXW\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-1585<\/a> und wurde bereits Ende 2020 von dem Forscher Malcolm Lashley <a href=\"https:\/\/gist.github.com\/mlashley\/7d2c16e91fe37c9ab3b2352615540025\" target=\"_blank\" rel=\"noopener nofollow\">entdeckt<\/a>. Er fand heraus, dass bei der Auslieferung von Updates das Zertifikat, das zum Aufbau einer sicheren Verbindung \u00fcber einen TLS-Handshake ben\u00f6tigt wird, nicht angemessen verarbeitet wird. Dies wiederum erm\u00f6glicht es einem Angreifer, einen Man-in-the-Middle-Angriff auf Cisco-Clients durchzuf\u00fchren; d. h. die eigenen Ressourcen durch eine legitime Update-Quelle zu ersetzen. Dadurch ist es m\u00f6glich, anstelle eines Patches Schadcode auszuliefern und diesen auch auszuf\u00fchren. Diese Schwachstelle hat \u00fcbrigens eine interessante Vorgeschichte: Malcolm Lashley meldete sie im Dezember 2020 an Cisco. Im Juli 2021 ver\u00f6ffentlichte Cisco Details zu eben dieser Sicherheitsl\u00fccke, allerdings ohne einen Patch bereitzustellen. Im Juli 2022 wurde die Schwachstelle auf dem internen Portal f\u00fcr Firmenkunden jedoch bereits als geschlossen markiert. Rapid7 zeigte, dass genau das Gegenteil der Fall war und ein m\u00f6glicher Patch, wenn es diesen jemals gegeben hat, nicht funktionierte.<\/p>\n<p>Auch die \u00fcbrigen Schwachstellen k\u00f6nnen nicht als banal bezeichnet werden. So kann <a href=\"https:\/\/tools.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-asasfr-cmd-inject-PE4GfdG\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2022-20828<\/a> beispielsweise dazu verwendet werden, einen Systemadministrator via Fernzugriff anzugreifen. Die Demonstration vermittelt ein Gef\u00fchl daf\u00fcr, wie ein potenzieller Angreifer durch Eingabe eines einzigen Befehls vollst\u00e4ndigen Zugriff auf das System erlangen kann. Dar\u00fcber hinaus stellte Rapid7 fest, dass die FirePOWER-Bootmodule \u00fcberhaupt nicht gescannt werden. Das bedeutet, dass es bei geschlossenen Schwachstellen in der Software jederzeit m\u00f6glich ist, das Boot-Image auf eine fr\u00fchere, ungepatchte Version zur\u00fcckzusetzen. Trotz der M\u00f6glichkeit, ein solches Downgrade f\u00fcr echte Angriffe zu nutzen, hat Cisco dies nicht einmal als Sicherheitsproblem betrachtet.<\/p>\n<h2><strong>Schwierigkeiten bei der Bereitstellung von Updates<\/strong><\/h2>\n<p>Diese Schwachstellen verdeutlichen zahlreiche Probleme mit dem Update-Bereitstellungsmodus, selbst bei Unternehmenssoftware, die mit hochwertigen Unternehmensl\u00f6sungen geb\u00fcndelt ist. Vor einiger Zeit haben wir \u00fcber ein konzeptionell \u00e4hnliches Problem bei Verbrauchersoftware <a href=\"https:\/\/www.kaspersky.de\/blog\/defcon30-zoom-vulnerability\/45420\/\" target=\"_blank\" rel=\"noopener\">geschrieben<\/a>, n\u00e4mlich den Zoom Web-Client f\u00fcr Apple-Computer. Der Update-Pr\u00fcfungsprozess schien recht sicher zu sein. Der Zugriff auf den Server erfolgte \u00fcber eine sichere Verbindung, und die Aktualisierungsdateien waren digital signiert. Der Signatur\u00fcberpr\u00fcfungsprozess erm\u00f6glichte es jedoch, dass anstelle einer legitimen ausf\u00fchrbaren Datei nach Belieben irgendetwas anderes ausgef\u00fchrt werden konnte; und zwar mit den h\u00f6chsten Privilegien. Es gab auch F\u00e4lle, in denen \u201esch\u00e4dliche Updates\u201c in realen Angriffen eingesetzt wurden: 2018 <a href=\"https:\/\/usa.kaspersky.com\/blog\/web-sas-2018-apt-announcement-2\/14873\/\" target=\"_blank\" rel=\"noopener\">entdeckten<\/a> Kaspersky-Forscher diese Technik in der APT-Kampagne von Slingshot, die Mikrotik-Router kompromittierte.<\/p>\n<p>Im Fall von Cisco musste die digitale Signaturpr\u00fcfung von ASDM-Bin\u00e4rpaket-Updates nicht einmal umgangen werden. Sie existierte schlichtweg nicht (der Mechanismus tauchte angeblich im August 2022 auf, seine Zuverl\u00e4ssigkeit wurde jedoch noch nicht \u00fcberpr\u00fcft). Offen gesagt sind alle von den Black-Hat-Forschern vorgeschlagenen Angriffe ziemlich schwierig auszuf\u00fchren. Die Risiken sollten jedoch ernst genommen werden, da sie gro\u00dfe Unternehmen betreffen k\u00f6nnten, f\u00fcr die bei Folgen durch Ransomware zur Dateiverschl\u00fcsselung oder den Diebstahl von Gesch\u00e4ftsgeheimnissen viel auf dem Spiel steht.<\/p>\n<h2><strong>Das k\u00f6nnen Sie tun<\/strong><\/h2>\n<p>Angesichts der Besonderheiten dieser Schwachstellen lautet die wichtigste Empfehlung des Rapid7-Forschers, die Arbeit im Administratormodus mit vollem Zugriff so weit wie m\u00f6glich einzuschr\u00e4nken. Und dies bezieht sich nicht nur auf hohe Privilegien bei einer Remote-Verbindung zur Infrastruktur. Es gibt viele Beispiele, die zeigen, dass selbst bei maximaler Offline-Isolierung Hackerangriffe durch b\u00f6sartige Updates oder einfache Skripte, die Software-Schwachstellen ausnutzen, m\u00f6glich sind. Eine sorgf\u00e4ltige \u00dcberwachung der Personen, die vollen Zugang zur Infrastruktur haben, und die Einschr\u00e4nkung der von den Administratoren durchgef\u00fchrten Aktionen k\u00f6nnen dazu beitragen, das Risiko erfolgreicher Angriffe zu verringern. Das Risiko kann jedoch nicht vollst\u00e4ndig ausgeschlossen werden\u2026<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wie selbst High-End-L\u00f6sungen f\u00fcr Unternehmen \u201ekindische\u201c Bugs in ihren Systemen zur Update-Bereitstellung aufweisen k\u00f6nnen.<\/p>\n","protected":false},"author":2411,"featured_media":29378,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[1585,1498,1012],"class_list":{"0":"post-29377","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-def-con","11":"tag-schwachstellen","12":"tag-updates"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/defcon30-cisco-updates-vulnerabilities\/29377\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/defcon30-cisco-updates-vulnerabilities\/24737\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/20208\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/27211\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/defcon30-cisco-updates-vulnerabilities\/25065\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/25377\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/defcon30-cisco-updates-vulnerabilities\/27916\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/defcon30-cisco-updates-vulnerabilities\/11097\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/defcon30-cisco-updates-vulnerabilities\/45718\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/defcon30-cisco-updates-vulnerabilities\/19568\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/defcon30-cisco-updates-vulnerabilities\/20140\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/defcon30-cisco-updates-vulnerabilities\/31112\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/defcon30-cisco-updates-vulnerabilities\/30802\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/schwachstellen\/","name":"Schwachstellen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29377","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2411"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29377"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29377\/revisions"}],"predecessor-version":[{"id":29379,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29377\/revisions\/29379"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29378"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29377"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29377"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29377"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}