Adaptive Security Appliance (ASA)

Die Schwachstelle steckt in der WebVPN-Anmeldeseite der Cisco Adaptive Security Appliance (ASA), einer als Firewall und VPN-Gateway eingesetzten Sicherheitslösung. Es handelt sich um eine Cross-Site-Scripting-Lücke (XSS): Über einen nicht näher bezeichneten Parameter der Login-Seite kann ein Angreifer aus der Ferne eigenen Web-Code oder HTML einschleusen, der dann im Browser des Opfers ausgeführt wird. Da die Eingaben an dieser Stelle nicht ausreichend bereinigt werden, lässt sich präparierter Skriptcode unterbringen, der beim Aufruf der manipulierten Seite zur Ausführung kommt. Typischerweise wird ein Nutzer dazu gebracht, einen präparierten Link zu öffnen. Auf diese Weise kann der Angreifer etwa Anmeldedaten abgreifen, Sitzungsinhalte manipulieren oder Aktionen im Kontext des betroffenen Anwenders auslösen. Betroffen ist die WebVPN-Komponente, also die per Webbrowser erreichbare VPN-Anmeldung – eine Funktion, die in der Regel offen aus dem Internet erreichbar ist.