Web

 

VPN-Produkte von Cisco sind unsicher

09.05.2003

MÜNCHEN (COMPUTERWOCHE) - Cisco warnt vor Sicherheitslücken in den VPN-Produkten (Virtual Private Network) "VPN 3002 Hardware Client" und "VPN 3000 Series Concentrator". Betroffen sind die Concentrator-Modelle 3005, 3015, 3030, 3060 und 3080. Eine der Lücken bietet Hackern die Möglichkeit, ohne Authentifizierung auf ein VPN zuzugreifen. Der Fall tritt ein, wenn IPSec over TCP (Internet Protocol Security over Transmission Control Protocol) auf Ports eines Concentrators aktiviert ist. Durch ein zweites Leck lassen sich DoS-Attacken starten. Dazu senden Angreifer manipulierte SSH-Initialisierungspakete (Secure Shell) an die betroffenen Geräte und bringen sie dadurch zum Absturz. Außerdem gehen die VPN-Produkte in die Knie, wenn fehlerhafte ICMP-Pakete (Internet Control Message Protocol) abgesetzt werden.

Cisco empfiehlt, die aktuelle Systemsoftware einzuspielen, um die Fehler zu beheben. Weitere Informationen zu den Sicherheitslücken hat der Hersteller in einem Security-Advisory zusammengestellt. (lex)