Cisco Adaptive Security Device Manager Web Login Portal Lockout Mechanism Failure Brute Force Vulnerability schwache Authentisierung
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.0 | $0-$5k | 0.00 |
Zusammenfassung
In Cisco Adaptive Security Device Manager wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Betroffen ist eine unbekannte Funktion der Komponente Web Login Portal Lockout Mechanism Failure. Die Bearbeitung verursacht schwache Authentisierung (Brute Force Vulnerability). Zusätzlich gibt es einen verfügbaren Exploit.
Details
Eine Schwachstelle wurde in Cisco Adaptive Security Device Manager - die betroffene Version ist nicht genau spezifiziert - gefunden. Sie wurde als kritisch eingestuft. Betroffen davon ist ein unbekannter Prozess der Komponente Web Login Portal Lockout Mechanism Failure. Dank Manipulation mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle (Brute Force Vulnerability) ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-287. Das hat Auswirkungen auf Vertraulichkeit und Integrität.
Die Schwachstelle wurde am 02.12.2013 durch Jonathan Claudius von Trustwave SpiderLabs als metasploit-framework / modules / auxiliary / scanner / http / cisco_asa_asdm.rb in Form eines bestätigten Advisories (Website) veröffentlicht. Das Advisory kann von github.com heruntergeladen werden. Die Herausgabe geschah hierbei ohne Zusammenarbeit mit dem Hersteller. Der Angriff kann über das Netzwerk passieren. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 28.03.2019).
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (100577†) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Hersteller
Name
Lizenz
Webseite
- Hersteller: https://www.cisco.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 5.0
VulDB Base Score: 5.4
VulDB Temp Score: 5.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Name: Brute Force VulnerabilityKlasse: Schwache Authentisierung / Brute Force Vulnerability
CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: Privat
Status: Unbewiesen
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
02.12.2013 🔍06.12.2013 🔍
28.03.2019 🔍
Quellen
Hersteller: cisco.comAdvisory: metasploit-framework / modules / auxiliary / scanner / http / cisco_asa_asdm.rb
Person: Jonathan Claudius
Firma: Trustwave SpiderLabs
Status: Bestätigt
GCVE (VulDB): GCVE-100-11408
OSVDB: 100577
Eintrag
Erstellt: 06.12.2013 14:47Aktualisierung: 28.03.2019 11:52
Anpassungen: 06.12.2013 14:47 (43), 28.03.2019 11:52 (1)
Komplett: 🔍
Editor:
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.