Cisco Systems hat eine Warnung herausgegeben, dass einige seiner Virtual-Private-Network- (VPN-)Komponenten unsicher sind, wenn sie sogenannte "Gruppenpasswörter" benutzen. Diese stellen eine Alternative zu den komplizierteren, aber weitaus sichereren PKI-basierenden Schlüsseln dar. Ciscos IPSec-VPN-Clients benutzen sowohl in der Hardware- als auch der Softwarevariante Gruppenpasswörter, die zwar verschlüsselt auf der Festplatte abgelegt sind, im Speicher jedoch im Klartext stehen und mit Hilfe einer speziellen Software auszulesen sind.

Tools, mit denen sich die Schwachstelle ausnutzen lässt, sind bereits im Umlauf. Damit ist es außerdem möglich, über einen "Man-in-the-Middle"-Angriff einen VPN-Konzentrator zu emulieren und Login- sowie Passwortinformationen der User abzufangen. Zusätzlich kann ein Angreifer bestehende VPN-Sessions übernehmen. Cisco hat eine Security Notice veröffentlicht, die das Problem detailliert beschreibt.

Sowohl die Windows- als auch die Linux-Versionen von Ciscos VPN-Clients sind von dem Problem betroffen. Eine Lösung gibt es derzeit nicht, Cisco arbeitet eigenen Aussagen zufolge jedoch an einem Update für die Produkte "VPN Concentrator 3000", "VPN 3002 Hardware Client" und die VPN-Client-Software, das im dritten Quartal verfügbar sein soll. Darin will der Hersteller zusätzliche Funktionen implementieren, um das Sicherheitsleck zu schließen. (ave)