Mindestens 8,5 Millionen Cisco-Switche leiden an hochkritischem Leck

Cisco veröffentlicht Patches für 22 Sicherheitslecks. Die meisten dieser Patches betreffen IOS und und die Netzwerk-Software IOS XE. Unter den Sicherheitslücken sind auch drei kritische Lecks, die sich remote ausnutzen lassen.

Das vermutlich schwerwiegendste Leck ist CVE-2018-0171. Davon ist der Cisco-Client Smart Install betroffen. Dieses Tool hilft beim Installieren neuer Switches unter Cisco IOS Software und Cisco IOS XE.

Ein Leck in Ciscos Smart Install, das für zahlreiche Produkte verfügbar ist, ermöglicht remote Zugriff (Bild: Embedi).

Dank eines per Default offenen Ports kann ein unangemeldeter Angreifer das Leck ausnutzen und einen Neustart erzwingen oder beliebigen Code auf dem Gerät ausführen. Das Sicherheitsunternehmen Embedi, das das Leck entdeckt hatte, ist zunächst davon ausgegangen, dass das Leck lediglich innerhalb eines Unternehmensnetzwerkes ausgenutzt werden kann, erklären die Experten in einem Blog. Bei den weiteren Nachforschungen habe sich jedoch gezeigt, dass mehrere Millionen Geräte betroffen sind, die aber über das Internet erreichbar sind. Betroffen sind unter anderem Cisco Catalyst 2960 Series Switches und Catalyst 3850 Switches.

„In einem sicher konfigurierten Netzwerk sollten die Teilnehmer an der Smart Install Technologie nicht über das Internet erreichbar sein. Ein Scan des Webs hat aber gezeigt, dass das nicht der Fall ist“, heißt es von Embedi. So hätte ein kurzer Scan 8,5 Millionen Geräte gezeigt, die den verwundbaren Port offen haben.

Smart Install wird von einer Reihe von Cisco Routern und Switchen unterstützt. Die Sicherheitsexperten erklären die große Zahl der offenen Ports TCP 4786 damit, dass dieser Port in den Voreinstellungen offen ist. Und das werde offenbar von vielen Netzwerkadministratoren übersehen.

Über eine manipulierte Smart Install Nachricht können über diesen offenen Port die Geräte angegriffen werden. Embedi hat zudem einen Proof-of-Concept-Code veröffentlicht. Daher sollten Administratoren schnell den Port schließen und zudem die von Cisco veröffentlichen Patches aufspielen.

Das Leck habe Embedi bereits im Mai vergangenen Jahres entdeckt. Cisco wurde im September über das Leck informiert.

Bei den Nachforschungen von Cisco wurde darüber hinaus ein undokumentierter Nuteraccount in der IOS XE Software entdeckt. Das daraus resultierende Leck mit der Kennung CVE-2018-0150 ist über einen voreingestellten Nutzernamen und Passwort erreichbar. Cisco warnt, dass ein Angreifer sich darüber remote auf einem Gerät anmelden kann, auf dem die Software läuft.

CVE-2018-0151 lässt sich laut Cisco ebenfalls remote ausnutzen und zwar über das QoS Subsystem in IOS und IOS XE. „Diese Verwundbarkeit entsteht durch fehlerhafte Bound-Checkings bestimmter Werte in Paketen, die für UDP Port 18999 auf einem betroffenen Gerät geschickt werden. Ein Angreifer kann diese Verwundbarkeit ausnutzen indem er Pakete an ein verwundbares Gerät schickt“, warnt Cisco. Alle drei oben genannten Lecks haben einen CVSS-Score von 9.8 von 10.

Der Patchday im März ist der erste des halbjährlich veröffentlichten Patch-Bundels für IOS und IOS XE. In den 20 Advisories schließt Cisco insgesamt 22 Verwundbarkeiten. Die Restlichen 19 Fixes sind mit hoch eingestuft.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.