Kritische Cisco-Lücke geschlossen!
Ein Fehler in der ASA-Software von Cisco ermöglicht Angriffe via WebVPN. aspectra hat die entsprechende Lücke geschlossen.
Am 29. Januar wurde bekannt, dass der webbasierte VPN-Gateway von Cisco eine Schwachstelle aufweist, die es Angreifern erlaubt, das Gerät abstürzen zu lassen oder sogar die Kontrolle über das Netzwerk zu erlangen. Betroffen sind Geräte auf denen die Security-Software ASA (Adaptive Security Appliance) läuft und auf denen der Zugriff via WebVPN aktiviert ist.
Ausgenutzt wird die Schwachstelle indem mehrere spezielle XML-Pakete an das Interface geschickt werden. Die Lücke ist kritisch und im Common Vulnerability Scoring System (CVSS) figuriert sie mit dem Höchstwert 10.0.
Mit der Warnung hat Cisco auch einen Patch veröffentlicht, der diese Lücke schliesst. Entsprechend hat aspectra am 30. Januar diesen Patch auf den betroffenen Geräten installiert und die Schwachstelle beseitigt.