Am 23. Oktober 2024 veröffentlichte Cisco eine kritische Sicherheitswarnung zu einer Schwachstelle in der Cisco Adaptive Security Appliance (ASA) Software. Diese Schwachstelle, die unter CVE-2024-20329 bekannt ist, betrifft das SSH-Subsystem der ASA-Software und ermöglicht es einem entfernten, authentifizierten Angreifer, Betriebssystembefehle mit Root-Rechten auszuführen. Die Schwachstelle wurde als kritisch eingestuft, mit einem CVSS-Score von 9.9.
Die Ursache liegt in einer unzureichenden Validierung von Benutzereingaben. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er speziell gestaltete Eingaben beim Ausführen von Remote-CLI-Befehlen über SSH sendet. Dadurch erhält der Angreifer die Möglichkeit, vollständige Kontrolle über das System zu erlangen, obwohl er ursprünglich nur eingeschränkte Benutzerrechte besaß. Dies stellt eine erhebliche Gefahr dar, da ein erfolgreicher Angriff zu schwerwiegenden Beeinträchtigungen der Systemsicherheit führen kann.
Cisco hat bereits Software-Updates veröffentlicht, die diese Schwachstelle beheben. Für Systeme, bei denen ein sofortiges Update nicht möglich ist, steht ein Workaround zur Verfügung. Der empfohlene Workaround besteht darin, den CiscoSSH-Stack zu deaktivieren und stattdessen den nativen SSH-Stack zu verwenden. Dadurch wird die Angriffsfläche reduziert, indem die betroffene Komponente abgeschaltet wird. Es sollte jedoch beachtet werden, dass dieser Workaround aktive SSH-Sitzungen beendet und Kunden sicherstellen sollten, dass dieser Ansatz in ihrer Umgebung anwendbar ist, ohne unerwünschte Nebenwirkungen zu verursachen.
Betroffen sind Systeme, auf denen eine verwundbare Version der ASA-Software mit aktiviertem CiscoSSH-Stack läuft und auf denen SSH-Zugriff über mindestens eine Schnittstelle erlaubt ist. Durch Ausführen des Befehls show running-config | include ssh können Administratoren überprüfen, ob der CiscoSSH-Stack aktiv ist.
Cisco hat bestätigt, dass Firepower Threat Defense (FTD) Software und Secure Firewall Management Center (FMC) Software nicht von dieser Schwachstelle betroffen sind.
Für weitere Informationen und den vollständigen Bericht steht die Cisco-Sicherheitswarnung zur Verfügung. Cisco empfiehlt allen Kunden, ihre Systeme umgehend zu aktualisieren oder den Workaround zu implementieren, um das Risiko einer Kompromittierung zu minimieren.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: