Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD)

Die Schwachstelle betrifft die Web-Server für Verwaltung und VPN der Firewall-Software Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD). Ursache ist eine unvollständige Fehlerprüfung beim Verarbeiten eines HTTP-Headers: Trifft eine entsprechend präparierte HTTP-Anfrage ein, gerät die Verarbeitung in eine Endlosschleife. Ein Angreifer kann die Lücke aus der Ferne und ohne vorherige Anmeldung ausnutzen, indem er eine manipulierte HTTP-Anfrage an den verwundbaren Web-Server des Geräts schickt. In der Folge lädt das Gerät unerwartet neu, wodurch es zu einer Betriebsunterbrechung kommt – einer sogenannten Denial-of-Service-Situation, in der die Firewall vorübergehend nicht verfügbar ist. Da ASA und FTD an zentraler Stelle den Netzwerkverkehr absichern, kann ein erzwungener Neustart die Erreichbarkeit dahinterliegender Systeme und Dienste beeinträchtigen. Besonders exponiert sind Geräte, deren Verwaltungs- oder VPN-Oberfläche aus dem Internet erreichbar ist.