Cisco ASA und Firewall Appliance werden gezielt durch alt bekannte DoS-Schwachstelle angegriffen

Kürzlich entdeckte Denial-of-Service und Information-Disclosure Angriffe zielen auf Cisco´s Adaptive Security Appliance (ASA) und Firewall Appliance ab. Die Angriffe nutzen eine alt bekannte Schwachstelle mit der CVE-2018-0296 aus. Das Problem liegt im Framework der ASA/Firepower und kann durch das Versenden einer speziell erstellten URL ausgenutzt werden. Ein Patch für die Behebung des Fehlers ist bereits seit Juni 2018 verfügbar. Es ist also nicht immer von Vorteil, wenn man davon spricht, "dass die Firewall bereits seit 365 Tagen" ohne Neustart läuft. Dies bedeutet nämlich nicht nur, dass die Appliances sehr stabil laufen, sondern auch - dass keine Patches eingespielt werden.

Prüfung, ob die eigenen Systeme anfällig sind:

[code]show asp table socket | include SSL|DTLS[/code] Potentielle Anfälligkeiten bestehen, wenn "listening sockets" gezeigt werden. Allerdings muss zusätzlich ein anfälliger Prozess laufen, damit die Schwachstelle ausgenutzt werden kann. Dies lässt sich mit dem folgenden Befehl eruieren: [code]show processes | include Unicorn[/code] Weitere Infos liefert Talos Intelligence unter folgendem Link. Detaillierte Informationen über betroffene Geräte, die Schwachstelle CVE-2018-0296 und Handlungsempfehlungen können hier entnommen werden.