Die Firma Cisco ermöglicht Administratoren von Nexus Switch-Geräten die Funktion POAP aus Sicherheitsgründen abzuschalten. Dazu wurde ein Firmware-Update freigegeben, das den Zugriff auf die betreffende Option ermöglicht. Zudem hat Cisco am 6. März 2019 eine Reihe Sicherheitshinweise für weitere Produkte veröffentlicht.
Anzeige
Cisco Nexus Switches und POAP
Die Cisco Nexus Series Switches sind modulare und stationäre Netzwerk-Switches, die für das Rechenzentrum entwickelt wurden. Cisco Systems hat die Nexus Series von Switches am 28. Januar 2008 eingeführt. Auf dieser Cisco-Seite gibt es mehr Informationen zu den Geräten.
(Quelle: Cisco)
Die Switches sind mit einer Funktion namens PowerOn Auto Provisioning (POAP) ausgestattet. POAP ist eine automatische Bereitstellungs- und Zero-Touch-Deployment-Funktion, die Gerätebesitzer bei der Erstinstallation und Konfiguration von Nexus-Switches unterstützt.
Die Funktion sucht beim Gerätestart nach einem lokalen Konfigurationsskript. Wurde das Skript gelöscht, oder der Switch auf die Werkseinstellungen zurückgesetzt, oder ist dies der erste Bootvorgang des Geräts, verbindet sich der POAP-Daemon mit einer voreingestellten Liste von Servern, um eine erste Konfigurationsdatei herunterzuladen. POAP ist derzeit standardmäßig in NX-OS, dem Betriebssystem der Nexus Switche, aktiviert.
Anzeige
POAP kann nun deaktiviert werden
Wie ZDNet.com hier berichtet, kann ein im lokalen Netzwerk vorhandener Angreifer fehlerhafte DHCP-Antworten an Nexus-Switches senden. Diese ermöglicht es, deren POAP-Einstellungen zu übernehmen, und Switches dazu bringen, Konfigurationsskripte von den Servern eines Angreifers herunterzuladen und auszuführen.
In diesem Sicherheitshinweis beschreibt Cisco die POAP-Funktion und das oben skizzierte Scenario. Laut Cisco basieren mehrere Schritte im POAP-Konfigurationsprozess vom Design her auf der Annahme, dass die Geräte sich in einem sicheren Netzwerksegment befinden, um wichtige Startinformationen zu erhalten. Während sich die POAP-Funktion deaktiviert, nachdem eine Konfiguration auf ein Gerät angewendet wurde, ist es wichtig, dass die Kunden die Netzwerke, in denen POAP verwendet werden kann, ordnungsgemäß sichern.
Ist dies nicht sichergestellt, sollte man die POAP-Funktion deaktivieren und andere Methoden verwenden, um ein Nexus-Gerät bei der Inbetriebnahme zu konfigurieren. Zu diesem Zweck hat Cisco mehrere neue Befehle in NX-OS hinzugefügt, um POAP zu deaktivieren, Diese Einstellungen bleiben über einen Reset auf Werkseinstellungen und das Entfernen einer Konfiguration hinaus bestehen. Richtlinien zur Sicherung einer POAP-Umgebung sowie Informationen zur Deaktivierung der Funktion finden Sie in den Abschnitten Details und Empfehlungen.
Weitere Cisco Sicherheitsinformationen
Zudem hat Cisco am 6. März 2019 eine ganze Sammlung an Sicherheitsinformationen zu eigenen Tools freigegeben. In den Sicherheitshinweisen werden 30 verschiedene, teilweise als Hoch eingestufte, Schwachstellen in Cisco-Produkten beschrieben. Diese lassen sich durch Updates schließen. Details sind in den jeweiligen Sicherheitshinweisen zu entnehmen.
Anzeige
Danke für den Hinweis!
Prompt ist eines meiner Geräte betroffen… Zum Glück ist eine neue Firmware bereits zum verfügbar.
Gruß
Gaga