Mindestens 8,5 Millionen Cisco-Switche leiden an hochkritischem Leck

Manipulierte Nachrichten können Cisco-Geräte angreifen – über einen Port, der per Voreinstellung offen ist, was offenbar von vielen Netzwerkadministratoren übersehen wird. Nutzer sollten dringend die Systeme aktualisieren.

Cisco veröffentlicht Patches für 22 Sicherheitslecks. Die meisten dieser Patches betreffen IOS und und die Netzwerk-Software IOS XE. Unter den Sicherheitslücken sind auch drei kritische Lecks, die sich remote ausnutzen lassen.

Das vermutlich schwerwiegendste Leck ist CVE-2018-0171. Davon ist der Cisco-Client Smart Install betroffen. Dieses Tool hilft beim Installieren neuer Switches unter Cisco IOS Software und Cisco IOS XE.

Ein Leck in Ciscos Smart Install, das für zahlreiche Produkte verfügbar ist, ermöglicht remote Zugriff (Bild: Embedi). Ein Leck in Ciscos Smart Install, das für zahlreiche Produkte verfügbar ist, ermöglicht remote Zugriff (Bild: Embedi).

Dank eines per Default offenen Ports kann ein unangemeldeter Angreifer das Leck ausnutzen und einen Neustart erzwingen oder beliebigen Code auf dem Gerät ausführen. Das Sicherheitsunternehmen Embedi, das das Leck entdeckt hatte, ist zunächst davon ausgegangen, dass das Leck lediglich innerhalb eines Unternehmensnetzwerkes ausgenutzt werden kann, erklären die Experten in einem Blog. Bei den weiteren Nachforschungen habe sich jedoch gezeigt, dass mehrere Millionen Geräte betroffen sind, die aber über das Internet erreichbar sind. Betroffen sind unter anderem Cisco Catalyst 2960 Series Switches und Catalyst 3850 Switches.

„In einem sicher konfigurierten Netzwerk sollten die Teilnehmer an der Smart Install Technologie nicht über das Internet erreichbar sein. Ein Scan des Webs hat aber gezeigt, dass das nicht der Fall ist“, heißt es von Embedi. So hätte ein kurzer Scan 8,5 Millionen Geräte gezeigt, die den verwundbaren Port offen haben.

Smart Install wird von einer Reihe von Cisco Routern und Switchen unterstützt. Die Sicherheitsexperten erklären die große Zahl der offenen Ports TCP 4786 damit, dass dieser Port in den Voreinstellungen offen ist. Und das werde offenbar von vielen Netzwerkadministratoren übersehen.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Über eine manipulierte Smart Install Nachricht können über diesen offenen Port die Geräte angegriffen werden. Embedi hat zudem einen Proof-of-Concept-Code veröffentlicht. Daher sollten Administratoren schnell den Port schließen und zudem die von Cisco veröffentlichen Patches aufspielen.

Das Leck habe Embedi bereits im Mai vergangenen Jahres entdeckt. Cisco wurde im September über das Leck informiert.

Bei den Nachforschungen von Cisco wurde darüber hinaus ein undokumentierter Nuteraccount in der IOS XE Software entdeckt. Das daraus resultierende Leck mit der Kennung CVE-2018-0150 ist über einen voreingestellten Nutzernamen und Passwort erreichbar. Cisco warnt, dass ein Angreifer sich darüber remote auf einem Gerät anmelden kann, auf dem die Software läuft.

CVE-2018-0151 lässt sich laut Cisco ebenfalls remote ausnutzen und zwar über das QoS Subsystem in IOS und IOS XE. „Diese Verwundbarkeit entsteht durch fehlerhafte Bound-Checkings bestimmter Werte in Paketen, die für UDP Port 18999 auf einem betroffenen Gerät geschickt werden. Ein Angreifer kann diese Verwundbarkeit ausnutzen indem er Pakete an ein verwundbares Gerät schickt“, warnt Cisco. Alle drei oben genannten Lecks haben einen CVSS-Score von 9.8 von 10.

Der Patchday im März ist der erste des halbjährlich veröffentlichten Patch-Bundels für IOS und IOS XE. In den 20 Advisories schließt Cisco insgesamt 22 Verwundbarkeiten. Die Restlichen 19 Fixes sind mit hoch eingestuft.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Themenseiten: Cisco, Router, Switches

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Mindestens 8,5 Millionen Cisco-Switche leiden an hochkritischem Leck

Kommentar hinzufügen
  • Am 5. April 2018 um 3:57 von Andreas

    Ist schon interessant, daß ein halbes Jahr vergeht bis Lösungen vorliegen. Und da soll noch mal einer gegen freie Quell-offene Software wettern.

  • Am 29. März 2018 um 18:07 von WIR

    Wer kennt ein Tool das den Smalspuradministratoren win/Smart-apps die möglichkeit verschafft einzelne ports off zu stellen.mit op-view kann ich zwar sehen und nachvollziehen wohin aber diverse ports nicht inaktiv stellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *