{"id":203053,"date":"2018-04-06T09:35:21","date_gmt":"2018-04-06T07:35:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=203053"},"modified":"2024-08-12T13:15:09","modified_gmt":"2024-08-12T11:15:09","slug":"kritische-sicherheitslcke-in-cisco-switches","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/04\/06\/kritische-sicherheitslcke-in-cisco-switches\/","title":{"rendered":"Kritische Sicherheitslücke in Cisco-Switches"},"content":{"rendered":"

[English<\/a>]Falls ihr Cisco-Switches in eurer Firmenumgebung administriert, hei\u00dft es 'Obacht geben'. In diversen Modellen gibt es eine Sicherheitsl\u00fccke, die die Ger\u00e4te anf\u00e4llig f\u00fcr Remote-Angriffe macht.<\/p>\n

<\/p>\n

\"\"Sicherheitsforscher von Embedi haben eine kritische Schwachstelle in Cisco IOS Software und Cisco IOS XE Software entdeckt, die es einem nicht authentifizierten, Remote-Angreifer erm\u00f6glichen k\u00f6nnte, beliebigen Code auszuf\u00fchren. Dazu geh\u00f6rt auch die M\u00f6glichkeit, die volle Kontrolle \u00fcber die anf\u00e4lligen Netzwerkger\u00e4te zu \u00fcbernehmen und den Datenverkehr abzufangen.<\/p>\n

Remote Code Execution-Sicherheitsl\u00fccke (CVE-2018-0171)<\/h2>\n

Die Stack-Overflow-Sicherheitsl\u00fccke (CVE-2018-0171) wird durch eine unsachgem\u00e4\u00dfe Validierung von Paketdaten im Smart Install Client verursacht. Dies ist eine Plug-and-Play-Konfigurations- und Abbildverwaltungsfunktion, die Administratoren bei der einfachen Bereitstellung von (Client-)Netzwerk-Switches unterst\u00fctzt.<\/p>\n

Embedi hat technische Details und Proof-of-Concept (PoC) Code publiziert<\/a>, nachdem Cisco entsprechende Updates freigegeben hat. Um diese Sicherheitsanf\u00e4lligkeit auszunutzen, muss ein Angreifer eine gestaltete Smart Install-Nachricht an ein betroffenes Ger\u00e4t auf dem TCP-Port 4786 senden, der standardm\u00e4\u00dfig ge\u00f6ffnet ist.<\/p>\n

Forscher fanden insgesamt 8,5 Millionen Ger\u00e4te mit offenem Port im Internet, so dass etwa 250.000 nicht gepatchte Ger\u00e4te f\u00fcr Hacker zug\u00e4nglich waren. Diese Remote Code Execution-Schwachstelle wird im Common Vulnerability Scoring System (CVSS)-Wert von 9.8 (kritisch) bewertet.<\/p>\n

Betroffene Ger\u00e4te<\/h2>\n

Wenn Sie ein Cisco-Netzwerkger\u00e4t mit einem offenen TCP-4786-Port haben, ist es anf\u00e4llig. Um solche Ger\u00e4te zu finden, scannen Sie einfach Ihr Netzwerk.<\/p>\n

nmap -p T:4786 192.168.1.0\/24<\/em><\/p>\n

Um zu pr\u00fcfen, ob das Netzwerkger\u00e4t vom Typ 'Smart Install Client' ist, geben Sie die folgenden Befehle ein:<\/p>\n

switch>show vstack config
\nRole: Client (SmartInstall enabled)
\nVstack Director IP address: 0.0.0.0<\/em><\/p>\n

switch>show tcp brief all<\/em><\/p>\n

Die Befehle listen dann die Ger\u00e4te auf (siehe auch diese Embedi-Seite<\/a>). Von dieser Schwachstelle sind die nachfolgend aufgef\u00fchrten Cisco-Switches betroffen:<\/p>\n