Adaptive Security Appliance and Firepower Threat Defense

Die Schwachstelle steckt in der Funktion für den Remote-Access-VPN-Zugang der Firewall-Software ASA (Adaptive Security Appliance) und FTD (Firepower Threat Defense) von Cisco. Ursache ist eine unzureichende Trennung der Zugangsverwaltung – also der Prüfung von Anmeldung, Berechtigung und Protokollierung – zwischen dem Remote-VPN einerseits und den Funktionen für die HTTPS-Verwaltung sowie das Standort-zu-Standort-VPN andererseits. Indem ein Angreifer beim Verbindungsaufbau gezielt ein vorkonfiguriertes Standard-Verbindungsprofil angibt, kann er aus der Ferne und ohne Anmeldung automatisiert Anmeldedaten durchprobieren, um gültige Benutzername-Passwort-Kombinationen aufzuspüren. Auf manchen Geräten lässt sich zudem mit gültigen Zugangsdaten eine clientlose SSL-VPN-Sitzung für einen eigentlich nicht berechtigten Nutzer aufbauen. Die Authentifizierung selbst wird dabei nicht umgangen – gültige Zugangsdaten und ein etwaiger zweiter Faktor bleiben erforderlich. Betroffen sind Organisationen, die diese Geräte für den VPN-Fernzugriff einsetzen.