[English]Falls ihr Cisco-Switches in eurer Firmenumgebung administriert, heißt es 'Obacht geben'. In diversen Modellen gibt es eine Sicherheitslücke, die die Geräte anfällig für Remote-Angriffe macht.
Anzeige
Sicherheitsforscher von Embedi haben eine kritische Schwachstelle in Cisco IOS Software und Cisco IOS XE Software entdeckt, die es einem nicht authentifizierten, Remote-Angreifer ermöglichen könnte, beliebigen Code auszuführen. Dazu gehört auch die Möglichkeit, die volle Kontrolle über die anfälligen Netzwerkgeräte zu übernehmen und den Datenverkehr abzufangen.
Remote Code Execution-Sicherheitslücke (CVE-2018-0171)
Die Stack-Overflow-Sicherheitslücke (CVE-2018-0171) wird durch eine unsachgemäße Validierung von Paketdaten im Smart Install Client verursacht. Dies ist eine Plug-and-Play-Konfigurations- und Abbildverwaltungsfunktion, die Administratoren bei der einfachen Bereitstellung von (Client-)Netzwerk-Switches unterstützt.
Embedi hat technische Details und Proof-of-Concept (PoC) Code publiziert, nachdem Cisco entsprechende Updates freigegeben hat. Um diese Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer eine gestaltete Smart Install-Nachricht an ein betroffenes Gerät auf dem TCP-Port 4786 senden, der standardmäßig geöffnet ist.
Forscher fanden insgesamt 8,5 Millionen Geräte mit offenem Port im Internet, so dass etwa 250.000 nicht gepatchte Geräte für Hacker zugänglich waren. Diese Remote Code Execution-Schwachstelle wird im Common Vulnerability Scoring System (CVSS)-Wert von 9.8 (kritisch) bewertet.
Anzeige
Betroffene Geräte
Wenn Sie ein Cisco-Netzwerkgerät mit einem offenen TCP-4786-Port haben, ist es anfällig. Um solche Geräte zu finden, scannen Sie einfach Ihr Netzwerk.
nmap -p T:4786 192.168.1.0/24
Um zu prüfen, ob das Netzwerkgerät vom Typ 'Smart Install Client' ist, geben Sie die folgenden Befehle ein:
switch>show vstack config
Role: Client (SmartInstall enabled)
Vstack Director IP address: 0.0.0.0
switch>show tcp brief all
Die Befehle listen dann die Geräte auf (siehe auch diese Embedi-Seite). Von dieser Schwachstelle sind die nachfolgend aufgeführten Cisco-Switches betroffen:
- Catalyst 4500 Supervisor Engines
- Catalyst 3850 Series
- Catalyst 3750 Series
- Catalyst 3650 Series
- Catalyst 3560 Series
- Catalyst 2960 Series
- Catalyst 2975 Series
- IE 2000
- IE 3000
- IE 3010
- IE 4000
- IE 4010
- IE 5000
- SM-ES2 SKUs
- SM-ES3 SKUs
- NME-16ES-1G-P
- SM-X-ES3 SKUs
Wer eines der betroffenen Geräte betreibt, sollte ein Software-Update einspielen. Cisco hat am 29. März 2018 ein Security Advisory und Patches zur Verfügung gestellt. (via)
Anzeige
Habe zwei kleinere Cisco Router die eine VPN Verbindungen zu einem RZ aufbauen. Schon länger habe ich Bedenken bezüglich "eingebauter Lücken". Da war vor Jahren eine Diskussion darüber, dass (oder ob) die NSA (oder CIA?) Cisco Geräte bei Versand abgefangen haben sollen, um deren Firmware zu manipulieren. Leider konnte ich aus Zeitmangel der ohnehin kaum vorhandenen Berichterstattung darüber, nicht weiter folgen. Jetzt hoffe ich halt, dass meine Geräte nicht davon betroffen sind.
Ich denke mir, dass neben den tatsächlich öffentlich gemachten Sicherheitslücken auch gewollte Zugänge in vielen Geräten vorhanden sind. Nachprüfen kann man das vermutlich nicht wirklich.
Wir müssen darauf vertrauen, dass wir von namhaften Unternehmen mit Weltruf nicht betrogen und hintergangen werden… (VW u.a. lassen grüßen ;-))
Wieder ein Grund für deutsche Hersteller …
@lars, da wäre ich mir nicht so sicher. Trau-schau-wem! Und zudem stellt sich die Frage welche deutschen Produkte? AVM und Lancom sind wohl die einzig verbliebenen Hersteller, die Hard- und Software noch in Deutschland fertigen. AVM ist gut aber für spezielle Einsatzbereiche zu unflexibel und Lancom ist supergut aber definitiv zu teuer (zumindest für den Hausgebrauch).
You get what you pay for!
Bei Lancom stimmt das Preis / Leistungs – Verhältnis.
mMn ist der Preis für ein Lancom fair.
Allerdings auch hier gilt:
Wenn der ADMIN eine Flasche ist, dann nützt das beste Lancom genau …
GARNICHTS!
BTW: Wohnzimmeradministratoren werden mit einem Lancom schnell überfordert sein.
BTW: Wenn ich mir ansehe, wieviele EUROnen manche für angebissene Äpfel ausgeben, dann ist ein Lancom auch für den Hausgebrauch allemal erschwinglich ;-)
Naja jedes Produkt ist nur so gut wie der Admin. Wer nach der letzten Smart-Install-Lücke das Feature immer noch aktiviert hat, ist ganz klar selbst Schuld! Davon abgesehen gilt generell, dass alle nicht benötigten Features deaktiviert werden sollten.