[Cisco/CS-MARS,ASDM] Schwachstelle in der Zertifikatverarbeitung
RUS-CERT (Oliver Goebel)
(2007-01-19 16:09:33.793971+01)
Quelle: http://www.cisco.com/warp/public/707/cisco-sa-20070118-certs.s
html
Eine Schwachstelle in der Verarbeitung von digitalen Zerifikaten des
Cisco Security Monitoring, Analysis and Response System (CS-MARS)
sowie dem Cisco Adaptive Security Device Manager (ASDM) kann zur
Kompromittierung der Vertrauensbeziehungen zwischen den zuliefernden
Systemen und CS-MARS/ASDM führen.
Betroffene Systeme
* CS-MARS-Versionen vor 4.2.3
* ASDM-Versionen vor 5.2(2.54) sofern der ASDM Launcher
(stand-alone-Version von ASDM) verwendet wird.
Nicht betroffene Systeme
* CS-MARS 4.2.3 (2403)
* ASDM 5.2(2.54)
Einfallstor
Per Zertifikat abgesicherte Kommunikation mit CS-MARS bzw ASDM. Dies
ist i.A. die Kommunikation, die von Sensoren und anderen Systemen
initiiert wird, wenn sie Daten zur Korrelation an CS-MARS oder ASDM
schicken.
Auswirkung
Unterschieben beliebiger Information in die Auswertung und Korrelation
von CS-MARS oder ASDM
Typ der Verwundbarkeit
Designfehler
(design flaw)
Gefahrenpotential
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)
Kontext
Das Netzwerk-Überwachungswerkzeug Cisco Security Monitoring, Analysys
and Response System ([2]CS-MARS) sammelt Log- und Konfigurationsdaten
von verschiedenen Netzwerkkomponenten und korreliert diese zur
Überwachung der Leistung und Sicherheit. CS-MARS kann automatisch
Aktionen zur Linderung von Sicherheitsproblemen durchführen.
Der Cisco Adaptive Security Device Manager ([3]ASDM) ist ebenfalls ein
Werkzeug zur Sammlung und Korrelation von Log- und Konfigurationsdaten
insbesondere von Cisco Security Appliances und PIX-Firewalls.
Beschreibung
Eine Schwachstelle in der Verarbeitung von digitalen Zerifikaten von
CS-MARS und ASDM kann zur Kompromittierung der Vertrauensbeziehungen
zwischen den zuliefernden Systemen und CS-MARS führen. Bei Aufbau
einer Kommunikationsverbindung überprüft CS-MARS nicht die
Authentizität des Zertifikates seines Kommunikationspartners, so dass
ein Angreifer über eine Netzwerkverbindung die Identität eines
zuliefernden Systems (z.B. eines [4]Intrusion Detection Systems)
vortäuschen und gefälschte Daten übermitteln kann. Insbesondere in
Angriffsszenarien, in denen die Verschleierung von durch Sensoren des
CS-MARS beobachtbaren Aktionen von Bedeutung ist, ist die Ausnutzung
dieser Schwachstelle anwendbar.
Gegenmaßnahmen
* Installation von [5]CS-MARS 4.2.3 (2403)
* Installation von [6]ASDM 5.2(2.54)
Vulnerability ID
* [7]CVE-2007-0397
* Cisco BugID [8]CSCsf95930 (nur für registrierte Cisco-Kunden)
* Cisco BugID [9]CSCsg78595 (nur für registrierte Cisco-Kunden)
Revisionen dieser Meldung
* V 1.0: Als Kurzmeldung veröffentlicht (2007-01-19)
* V 1.1: Zur Vollmeldung erweitert (2007-01-19)
* V 1.2: CVE-Namen hinzugefügt (2007-01-22)
Aktuelle Version dieses Artikels
[10]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1348
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2007 RUS-CERT, Universität Stuttgart,
[11]http://CERT.Uni-Stuttgart.DE/
References
1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://www.cisco.com/en/US/products/ps6241/products_data_sheet0900aecd80272e64.html
3. http://www.cisco.com/en/US/products/ps6121/index.html
4. http://de.wikipedia.org/wiki/Intrusion_Detection_System
5. http://www.cisco.com/pcgi-bin/tablebuild.pl/cs-mars?psrtdcat20e2
6. http://www.cisco.com/pcgi-bin/tablebuild.pl/asa-interim?psrtdcat20e2
7. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0397
8. http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsf95930
9. http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsg78595
10. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1348
11. http://CERT.Uni-Stuttgart.DE/
----------------------------------------------------------------------
Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Aut...@Lists.CERT.Uni-Stuttgart.DE