De netwerkgigant biedt fixes aan voor deze gaten die het zelf heeft ontdekt. In enkele gevallen zijn er ook workarounds mogelijk, die dan echter functionaliteit uitschakelen. De kwetsbaarheden zijn door Cisco zelf ontdekt tijdens het oplossen van problemen bij niet nader genoemde klanten. Het Product Security Incident Response Team (PSIRT) van Cisco is zich “niet bewust van publieke bekendmakingen of kwaadwillend gebruik van de kwetsbaarheden", meldt het bedrijf in zijn security-bulletins.

Lamleggen via security

De vier gaten zijn bekendgemaakt in twee bulletins. De eerste is voor de eigenlijk kwetsbare software: de Adaptive Security Appliance (ASA) van Cisco. Dat is het besturingssysteem voor diverse appliances, modules, switches, routers en firewalls van de netwerkleverancier. De ASA-software biedt beveiligingsdiensten zoals firewalling, indringerspreventie (IPS), virtuele private networks (VPN) en gebundelde antivirus, antimalware, antiphishing en meer (anti-X).

De kwetsbaarheden in die software maakt het kwaadwillende gebruikers mogelijk om op afstand Cisco-apparatuur uit te schakelen, meldt de Duitse it-nieuwssite The H Security. Zo'n DoS-aanval (denial of serivce) is uit te voeren zónder dat de dader accountgegevens op het bewuste apparaat nodig heeft. Het toesturen van een speciaal geprepareerd IKE-bericht (Internet Key Exchange) volstaat voor misbruik van kwetsbaarheid één. Het toesturen van een malafide internetadres (URL) voor kwetsbaarheid twee. Het voeren van een kwaadaardig digitaal certificaat levert een DoS op via kwetsbaarheid drie. En het afvuren van een aangepast DNS-bericht is misbruik van kwetsbaarheid vier.

Reload

In alle gevallen gebeurt de verwerking van die toegestuurde data op een verkeerde manier door de respectievelijke softwarecomponenten. Deze fouten in de securitysoftware zorgen voor een reload van het apparaat in kwestie. Dat raakt daardoor zijn huidige configuratie kwijt en daarmee valt dus effectief de dienst uit die het apparaat uitvoert voor de gebruikende organisatie.

Volgens Cisco zijn “sommige van deze kwetsbaarheden" ook van toepassing op de Firewall Services Module (FWSM) in enkele modellen van zijn switches en routers. Dit zijn respectievelijk de 6500-series en de 7600-series. Daarvoor heeft de fabrikant een tweede security-bulletin gepubliceerd, met daarin uitleg en verwijzing naar de fixes en eventuele workarounds.