Adaptive Security Appliance (ASA)

Die Schwachstelle steckt im Parser der Kommandozeilen-Schnittstelle (CLI) der Cisco Adaptive Security Appliance (ASA), der eingegebene Verwaltungsbefehle verarbeitet. Der Fehler tritt auf, wenn ungültige CLI-Befehle abgesetzt werden: Der Parser verarbeitet sie fehlerhaft, und ein angemeldeter Benutzer mit lokalem Zugriff kann sich dadurch höhere Rechte verschaffen. Je nach Ausnutzung lässt sich entweder das Gerät zum Absturz bringen und so ein Ausfall der Funktion (Denial of Service) herbeiführen oder im Extremfall eigener Code ausführen. Voraussetzung ist eine bestehende Anmeldung am Gerät – ein anonymer Zugriff aus dem Netz genügt nicht. Betroffen ist die ASA-Software auf den Firewall- und Sicherheitsgeräten der ASA-Reihe sowie auf den älteren PIX- und FWSM-Plattformen. Da es sich um zentrale Sicherheits- und Netzwerkinfrastruktur handelt, gefährdet eine erfolgreiche Ausnutzung die Schutzfunktion des Geräts und den darüber geführten Datenverkehr.