Sicherheitsforscher haben mal wieder eine Hintertür in Netzwerken gefunden, die sich hervorragend zum Ausspionieren von Firmen eignet. Man sollte die Chinesen aussperren, verbannen, fertig, so tönt es meist aus Amiland. Stopp: Dieses Mal war es Cisco. Ach ja, und bei Citrix gingen irgendwelche Hacker 5 Monate ein und aus, ohne das jemand etwas bemerkt hat.
Anzeige
Zum 1. Mai hatte ich im Beitrag Verwirrung um von Vodafone entdeckte Huawei 'Backdoor' über eine vermeintlich entdeckte Backdoor in Huawei Hardware berichtet. Es ging um einen offenen Telnet-Zugang, wobei der Vorgang viele Jahre zurück lag. Was aber schön war: In den Kommentaren ging es dann heiß um die Sache 'wem vertrauen wir weniger, den Amis mit Cisco – oder den Chinesen mit Huawei'. Gleich vorweg: Keinem kannst Du trauen.
Citrix über viele Monate gehackt, keiner merkt etwas
Zuerst ein kleiner Schlenker. Im März 2019 hatte ich im Blog-Beitrag Hacks und Leaks der Woche berichtet, dass das Citrix-Netzwerk gehackt wurde. Gemerkt hat es das FBI, welches den Citrix-Leuten Bescheid gab. Ich schrieb damals:
Da Citrix Anbieter von diverser Software ist, stellte sich natürlich sofort die Frage: Ist dort Firmware und Software modifiziert worden. So könnten Backdoors in Produkte implementiert werden, die dann den Zugriff auf andere Firmennetzwerke ermöglichen.
Nun lese ich bei Heise, dass Hacker fünf Monate lang ungestört Daten über das Citrix-Netzwerk abgreifen. Wäre noch so weiter gegangen, wenn nicht das FBI auf die Attacke aufmerksam geworden wäre. Wirft schon Fragen auf.
Anmerkung: In der ersten Fassung des Beitrags hatte ich im obigen Abschnitt Cisco statt Citrix angegeben. Danke an die Kommentatoren, die darauf hingewiesen haben.
Backdoor in Cisco-Netzwerkkomponenten
Nun berichtet The Register über eine in Cisco-Netzwerkkomponenten gefundene Backdoor, die gerade erst geschlossen wurde. Der US-Tech-Riese Cisco hat einen kostenlosen Fix für eine Schwachstelle veröffentlicht, die Maschinen der Nexus 9000er Serie betrifft. Die Schwachstelle in der Firmware kann ausgenutzt werden, um sich als Root anzumelden und das Gerät zur Überwachung zu missbrauchen. Ein Angreifer muss nur in der Lage sein, die gefährdete Box über IPv6 zu erreichen. Es liegt an einem Standard-SSH-Schlüsselpaar, das in der Software fest programmiert ist, wie Cisco erklärte.
Anzeige
A vulnerability in the SSH key management for the Cisco Nexus 9000 Series Application Centric Infrastructure (ACI) Mode Switch Software could allow an unauthenticated, remote attacker to connect to the affected system with the privileges of the root user.
The vulnerability is due to the presence of a default SSH key pair that is present in all devices. An attacker could exploit this vulnerability by opening an SSH connection via IPv6 to a targeted device using the extracted key materials. An exploit could allow the attacker to access the system with the privileges of the root user.
Im Cisco-Sicherheitscenter gibt es mit Datum 2. Mai 2019 eine lange Liste an Fixes für Cisco-Produkte. Dort ist auch das Update für die Nexus 9000er Serie aufgeführt. Heise widmet sich in diesem Artikel den geschlossenen Sicherheitslücken.
Anzeige
Moin Günter,
kann es sein, dass Du in dem einen Absatz Cisco und Citrix miteinander verwechselst?
VG
Ben
Danke, Du hast Recht – da ist mir Cisco statt Citrix im ersten Teil fälschlich aus den Fingern geschlüpft – ist korrigiert.
Hallo,
bei Heise steht – das Citrix über 5 Monate die Daten verloren hat – nicht Cisco.
https://www.heise.de/newsticker/meldung/Citrix-Hacker-im-internen-Netzwerk-fuenf-Monate-lang-nicht-entdeckt-4411516.html