Mindestens 8,5 Millionen Cisco-Switche leiden an hochkritischem Leck

Manipulierte Nachrichten können Cisco-Geräte angreifen – über einen Port, der per Voreinstellung offen ist, was offenbar von vielen Netzwerkadministratoren übersehen wird. Nutzer sollten dringend die Systeme aktualisieren.

Cisco veröffentlicht Patches für 22 Sicherheitslecks. Die meisten dieser Patches betreffen IOS und und die Netzwerk-Software IOS XE. Unter den Sicherheitslücken sind auch drei kritische Lecks, die sich remote ausnutzen lassen.

Das vermutlich schwerwiegendste Leck ist CVE-2018-0171. Davon ist der Cisco-Client Smart Install betroffen. Dieses Tool hilft beim Installieren neuer Switches unter Cisco IOS Software und Cisco IOS XE.

Ein Leck in Ciscos Smart Install, das für zahlreiche Produkte verfügbar ist, ermöglicht remote Zugriff (Bild: Embedi). Ein Leck in Ciscos Smart Install, das für zahlreiche Produkte verfügbar ist, ermöglicht remote Zugriff (Bild: Embedi).

Dank eines per Default offenen Ports kann ein unangemeldeter Angreifer das Leck ausnutzen und einen Neustart erzwingen oder beliebigen Code auf dem Gerät ausführen. Das Sicherheitsunternehmen Embedi, das das Leck entdeckt hatte, ist zunächst davon ausgegangen, dass das Leck lediglich innerhalb eines Unternehmensnetzwerkes ausgenutzt werden kann, erklären die Experten in einem Blog. Bei den weiteren Nachforschungen habe sich jedoch gezeigt, dass mehrere Millionen Geräte betroffen sind, die aber über das Internet erreichbar sind. Betroffen sind unter anderem Cisco Catalyst 2960 Series Switches und Catalyst 3850 Switches.

„In einem sicher konfigurierten Netzwerk sollten die Teilnehmer an der Smart Install Technologie nicht über das Internet erreichbar sein. Ein Scan des Webs hat aber gezeigt, dass das nicht der Fall ist“, heißt es von Embedi. So hätte ein kurzer Scan 8,5 Millionen Geräte gezeigt, die den verwundbaren Port offen haben.

Smart Install wird von einer Reihe von Cisco Routern und Switchen unterstützt. Die Sicherheitsexperten erklären die große Zahl der offenen Ports TCP 4786 damit, dass dieser Port in den Voreinstellungen offen ist. Und das werde offenbar von vielen Netzwerkadministratoren übersehen.

HIGHLIGHT

IDC-Studie: IT-Security in Deutschland 2018

Der Executive Brief "IT-Security in Deutschland 2018" bietet IT- und Fachbereichsentscheidern auf Basis der Studien-Highlights Best Practices und Empfehlungen für die Stärkung der IT-Sicherheit in ihrem Unternehmen.

Über eine manipulierte Smart Install Nachricht können über diesen offenen Port die Geräte angegriffen werden. Embedi hat zudem einen Proof-of-Concept-Code veröffentlicht. Daher sollten Administratoren schnell den Port schließen und zudem die von Cisco veröffentlichen Patches aufspielen.

Das Leck habe Embedi bereits im Mai vergangenen Jahres entdeckt. Cisco wurde im September über das Leck informiert.

Bei den Nachforschungen von Cisco wurde darüber hinaus ein undokumentierter Nuteraccount in der IOS XE Software entdeckt. Das daraus resultierende Leck mit der Kennung CVE-2018-0150 ist über einen voreingestellten Nutzernamen und Passwort erreichbar. Cisco warnt, dass ein Angreifer sich darüber remote auf einem Gerät anmelden kann, auf dem die Software läuft.

CVE-2018-0151 lässt sich laut Cisco ebenfalls remote ausnutzen und zwar über das QoS Subsystem in IOS und IOS XE. „Diese Verwundbarkeit entsteht durch fehlerhafte Bound-Checkings bestimmter Werte in Paketen, die für UDP Port 18999 auf einem betroffenen Gerät geschickt werden. Ein Angreifer kann diese Verwundbarkeit ausnutzen indem er Pakete an ein verwundbares Gerät schickt“, warnt Cisco. Alle drei oben genannten Lecks haben einen CVSS-Score von 9.8 von 10.

Der Patchday im März ist der erste des halbjährlich veröffentlichten Patch-Bundels für IOS und IOS XE. In den 20 Advisories schließt Cisco insgesamt 22 Verwundbarkeiten. Die Restlichen 19 Fixes sind mit hoch eingestuft.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

VERANSTALTUNGSHINWEIS

Mit künstlicher Intelligenz (KI) die Arbeitskraft erweitern

Im neuen Point of View von Avanade geht es um die Entwicklung einer KI-Strategie, die konsequent den Menschen in den Mittelpunkt stellt. Avanade zeigt, wie Unternehmen so die Zufriedenheit ihrer Mitarbeiter und die Erlebnisse ihrer Kunden verbessern – und dabei gleichzeitig den Business-Nutzen von künstlicher Intelligenz optimieren.

Themenseiten: Cisco, Router, Switches

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Mindestens 8,5 Millionen Cisco-Switche leiden an hochkritischem Leck

Kommentar hinzufügen
  • Am 29. März 2018 um 18:07 von WIR

    Wer kennt ein Tool das den Smalspuradministratoren win/Smart-apps die möglichkeit verschafft einzelne ports off zu stellen.mit op-view kann ich zwar sehen und nachvollziehen wohin aber diverse ports nicht inaktiv stellen.

  • Am 5. April 2018 um 3:57 von Andreas

    Ist schon interessant, daß ein halbes Jahr vergeht bis Lösungen vorliegen. Und da soll noch mal einer gegen freie Quell-offene Software wettern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *