Dringender Handlungsbedarf bei Cisco ASA & FTD Firewalls

von | Apr 3, 2017 | IT Sicherheit |

Am 30. März brachte Cisco eine Warnung heraus, welche alle ASA Geräte, die eine bestimmte Software mit schadhaftem Code benutzen, betrifft. Der schadhafte Code verursacht 213 Tage nach dem letzten Reboot einen Crash, Traffic wird nicht mehr weitergeleitet. Ein sofortiger Reboot wird als erste Maßnahme empfohlen.

Am 29. März 2017 wurde Cisco auf ein Problem aufmerksam, das alle Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) Geräte betrifft, welche die folgenden Software-Versionen verwenden:

  • ASA 9.1 Train: 9.1(7)8 and higher
  • ASA 9.2 Train: 9.2(4)15 and higher
  • ASA 9.4 Train: 9.4(3)5 and higher including 9.4(4)
  • ASA 9.5 Train: 9.5(3) and higher
  • ASA 9.6 Train: 9.6(2)1 and higher including 9.6(3)
  • ASA 9.7 Train: 9.7(1) and higher

Eine vollständige Liste der Cisco ASA und Firepower Geräte, die von diesem Softwarefehler betroffen sind, finden Sie in der Field Notice von Cisco.

Ein Fehler in dieser Software bringt die Security Appliances dazu, den Netzwerkverkehr nach einer Uptime des Geräts von 5.124 Stunden (213 Tage & 12 Stunden) zu stoppen. Die Cisco ASA und Cisco FTD Security Appliances beenden dann den gesamten Netzwerkverkehr. Gibt man über den Konsolenport den Befehl show asp drop, wird darauf hingewiesen, dass Pakete aufgrund einer Überschreitung des Punt-Rate Limits (punt-rate-limit-exceeded) verloren gehen.

Workarounds

Cisco empfiehlt den Usern von Cisco ASA- und Cisco FTD Security Appliances, welche die betroffenen Versionen der Software nutzen, diese sicherheitshalber neu zu starten, um so einen unerwarteten Stop des Netzwerk-Traffics zu verhindern. Der Neustart der Geräte muss innerhalb der Betriebszeit von  213 Tagen 12 Stunden durchgeführt werden, um das Problem zu verhindern. Danach bleiben erneut 213,5 Tage bevor ein weiterer Reboot ansteht.

Kunden mit Failover-Konfigurationen wird empfohlen, zuerst die Standby-Geräte neu zu starten, sie nach dem Booten aktiv zu machen und dann die zuvor aktiven Geräte neu zu starten.

Kunden mit Clustering-Konfigurationen sollten ein untergeordnetes Gerät nach dem anderen aus dem Cluster entfernen, es neu starten und wieder hinzufügen, bis jedes einzelne untergeordnete Gerät neu gestartet wurde. Dann wird das Master-Gerät mit einem der neu gestarteten Geräte verbunden und diese aus dem Cluster entfernt. Nach einem Neustart kann es wieder mit dem Cluster zusammengeführt werden.

Um die Uptime der zu überprüfenden Security Appliance zu überprüfen, gibt man den Befehl show version | grep up ein. Der Output wird dann folgendermaßen angezeigt:

ciscoasa# show version | grep up
Config file at boot was "startup-config"
ciscoasa up 210 days 11 hours
failover cluster up 210 days 11 hours

Das Gerät kann mit einer der folgenden Methoden neu gestartet werden:

ASA Security Appliances:
CLI – Geben Sie den Befehl reload im privileged mode ein.
ASDM GUI – Wählen Sie Tools > System Reload.

FTD Security Appliances:
CLI – Geben Sie den Befehl reboot im privileged mode ein.
Firepower Management Center – Wählen Sie Devices > Device Management, doppelklicken Sie auf FTD und wählen Sie dann die Registerkarte Device. Im Abschnitt System klicken Sie auf das Restart Device Icon.

Sowohl bei ASA- als auch FTD Security Appliances kann die Stromzufuhr unterbrochen werden, um einen Neustart durchzuführen.

Cisco versprach, in den nächsten Wochen aktualisierte ASA- und FTD-Softwareversionen zu veröffentlichen, die dieses Problem dauerhaft lösen sollen.

a

Textquellen & Links

Mehr Infos finden Sie hier:
cisco.com