Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD)

Die Schwachstelle steckt in der Web-Services-Schnittstelle der Sicherheits-Software Adaptive Security Appliance (ASA) und Firepower Threat Defense (FTD) von Cisco. Ursache ist eine unzureichende Prüfung der in HTTP-Anfragen enthaltenen URLs. Ein Angreifer kann aus der Ferne und ohne vorherige Anmeldung eine präparierte HTTP-Anfrage senden, die Zeichenfolgen für einen Verzeichniswechsel (Directory Traversal) enthält. Dadurch lässt sich der vorgesehene Pfad verlassen, und der Angreifer kann beliebige Dateien innerhalb des Dateisystems der Web-Services einsehen – ein reiner Lesezugriff. Auf eigentliche System- oder Betriebssystemdateien des Geräts greift der Angriff nicht zu. Das betroffene Dateisystem ist nur dann aktiv, wenn das Gerät mit den Funktionen WebVPN oder AnyConnect konfiguriert ist. Betroffen sind also Geräte, die als Fernzugriffs-VPN bereitstehen und deren Web-Schnittstelle aus dem Netz erreichbar ist.