Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense

Die Schwachstelle steckt im VPN-Webserver der Firewall-Software von Cisco – konkret in Secure Firewall Adaptive Security Appliance (ASA) und Secure Firewall Threat Defense (FTD). Sie beruht auf einer fehlerhaften Prüfung von Benutzereingaben in HTTP- bzw. HTTPS-Anfragen. In der Folge fehlt eine wirksame Autorisierung: Bestimmte URL-Endpunkte, die zum Fernzugriffs-VPN gehören und eigentlich nur nach erfolgreicher Anmeldung erreichbar sein dürften, lassen sich auch ohne Authentifizierung ansprechen. Ein entfernter Angreifer kann das ausnutzen, indem er gezielt präparierte HTTP-Anfragen an den Webserver des Geräts schickt, und erhält so Zugriff auf geschützte Bereiche, ohne sich auszuweisen. Weder gültige Zugangsdaten noch eine Benutzerinteraktion sind nötig. Besonders kritisch ist, dass dieser unautorisierte Zugriff sich mit weiteren Schwachstellen verketten lässt, um die Wirkung eines Angriffs erheblich zu verstärken. Betroffen sind Geräte, deren VPN-Webserver aus dem Netz erreichbar ist – also ein typischerweise direkt exponierter Dienst.