Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.683.960 Produkten

Jürgen Schmidt 270

Alert Tausende Cisco-Switches offen im Internet – Angriffe laufen bereits

Cisco-Netzwerk-Switches offen im Internet

Bild: Cisco

Über 200.000 Cisco Switches sind übers Internet erreichbar und lassen sich umkonfigurieren oder komplett übernehmen; mehrere tausend davon allein in Deutschland. Die Systeme werden bereits angegriffen, doch der Hersteller sieht keine Schwachstelle.

Cisco bietet für seine Switches einen Plug&Play-Dienst zur Fernkonfiguration namens Smart Install. Über diesen lässt sich die aktuelle Konfiguration auslesen, das Gerät konfigurieren oder auch gleich mit neuer Firmware versorgen. Dazu ist kein Passwort erforderlich; Authentifizierung sieht Smart Install nämlich gar nicht vor. Das ist extrem gefährlich, wenn die Smart-Install-Funktion solcher Switches direkt aus dem Internet erreichbar ist. Und genau das ist offenbar bei weltweit über 200.000 Cisco-Switches der Fall.

Anzeige

Die sind dann direkt aus dem Internet konfigurierbar und somit eine ideale Ausgangsbasis für weitere Angriffe im Firmennetz. Das betrifft gemäß der Suchmaschine Shodan allein 6400 Geräte in Deutschland; einige davon sogar bei Betreibern kritischer Infrastruktur. Prinzipiell anfällig sind alle Geräte, die sich über Smart Install einrichten lassen, also vor allem Cisco Switches der Catalyst-Serie, aber auch einige Integrated Service Router. Das Problem ist eigentlich seit fast einem Jahr bekannt, es gibt öffentlich verfügbare Tools, die es ausnutzen, um die Kontrolle über solche Switches zu erlangen. Das setzen Angreifer auch bereits in großem Stil ein.

So entdeckten heisec-Leser, die lieber anonym bleiben möchten, vor einigen Tagen auf einem Server mehrere hundert Konfigurations-Dateien für Cisco-Switches, die offenbar mit einem dieser öffentlichen Exploit-Tools abgezogen wurden. Was die Sammler damit vorhatten, ist nicht bekannt – typisch ist solche Informationsbeschaffung etwa bei der Vorbereitung von Angriffen. Die Finder informierten das CERT-Bund des BSI über die gestohlenen Config-Dateien und übergaben diesem eine selbst erstellte Liste mit IP-Adressen möglicherweise anfälliger Geräte in Deutschland.

Das CERT-Bund reagierte prompt und verschickte umgehend eine IT-Sicherheitswarnung an seine Warn- und Alarmierungskontakte in Bund und Ländern, an Betreiber von Kritischen Infrastrukturen sowie an die Mitglieder der Allianz für Cybersicherheit. Darüber hinaus informierte CERT-Bund die jeweils zuständigen Netzbetreiber über die in ihren Netzen möglicherweise angreifbaren IP-Adressen.

Präsentiert wurde das Problem mit dem ungewollten Smart Install auf Cisco-Geräten bereits 2016 auf einer Sicherheitskonferenz in Moskau; im Februar hat Cisco seine Sicht der Smart-Install-Problematik dargelegt. Demnach handelt es sich nicht um eine Schwachstelle in ihren Produkten, sondern um einen Fehler bei deren Handhabung. Smart Install arbeite genau so wie es soll; wer es aus dem Internet erreichbar macht, handelt grob fahrlässig. Patches oder Sicherheits-Updates, die dieses Problem entschärfen, schließt Cisco kategorisch aus. Administratoren sollten stattdessen ihre Hausaufgaben machen, ist der durchgängige Tenor.

Diese Einschätzung ist nachvollziehbar, aber angesichts hunderttausender, einfach anzugreifender Systeme nicht wirklich zielführend. Immerhin bietet Cisco einen eigenen Scanner namens smi_check an, mit dem Admins nach anfälligen Geräten in ihrem Netz suchen können. Behelfsweise genügt auch ein schneller Port-Scan auf den TCP-Port 4786 im lokalen Netz etwa mit

nmap -sS -p 4786 10.0.0.0/8 

um potentielle Problemfälle aufzuspüren. Wer Geräte mit aktivem Smart-Install gefunden hat, sollte diese Funktion entweder abschalten (no vstack) oder dafür sorgen, dass sie nur für autorisierte Mitarbeiter erreichbar ist. Konkrete Hilfestellung gibt Ciscos Security-Team in einem eigenen Dokument namens Mitigating and Detecting Potential Abuse of Cisco Smart Install Feature.

Noch ist nichts wirklich dramatisches passiert – zumindest nichts, was bekannt geworden wäre. Doch das kann sich sehr schnell ändern. Wer also Cisco-Switches im Einsatz hat, sollte sich möglichst jetzt versichern, dass seine Geräte nicht anfällig sind. Angesichts der Ausmaße ist es auch durchaus eine gute Idee, seine Admins oder andere möglicherweise Betroffene auf das Smart-Install-Problem hinzuweisen. (ju)

270 Kommentare

Themen:

Anzeige
  1. Cisco schließt zum Teil äußerst kritische Sicherheitslücken im IOS-Betriebssystem

    Server

    Im IOS-/IOS-XE-System von Netzwerkgeräten klaffen mehr als ein Dutzend Schwachstellen. Setzen Angreifer an diesen an, sollen sie mit vergleichsweise wenig Aufwand Geräte übernehmen können. Sicherheitsupdates sind verfügbar.

  2. Cisco: Zwei VPN-Lücken und eine Schwachstelle, die offiziell keine ist

    Netzwerk-Switch

    Cisco hat Sicherheitslücken im AnyConnect-VPN und auf seinen ASA-Firewalls gestopft. Ein Sicherheitsproblem mit dem SMI-Protokoll, welches es aus der Ferne erlaubt, neue Betriebssystem-Images auf Switches zu laden, sieht die Firma allerdings nicht.

  3. Netgear-Router trivial angreifbar, noch kein Patch in Sicht

    Netgear

    Im Web-Interface einiger Netgear-Router klafft offenbar eine kritische Sicherheitslücke, die Angreifer leicht ausnutzen können, um Code mit Root-Rechten auszuführen. Schutz verspricht bisher nur ein unorthodoxer Weg: Man soll die Lücke selbst ausnutzen.

  4. Cisco schließt kritische Vault-7-Lücke in über 300 Produkten

    Cisco

    Der Netzwerkausrüster Cisco hat rund zwei Monate nach Bekanntwerden einer kritischen Lücke endlich Sicherheits-Updates für etliche Switches geliefert. Öffentlich bekannt wurde die Schwachstelle durch eine Wikileaks-Veröffentlichung aus CIA-Kreisen.

  1. Home security systems hacked with 1234 password

    One, two, three, four, in: Security leak in connected alarm systems

    Many smart home security systems come with standard passwords. Potential intruders can deactivate them online and use them to spy on homes - the affected systems are in use in many countries globally.

  2. Android Smart Lock: Vertrauenswürdiges Gerät hinzufügen

    Du möchtest in Android ein vertrauenswürdiges Gerät hinzufügen? Wir zeigen dir, wie das geht.

  3. Android Smart Lock: Gesichtserkennung aktivieren

    Du möchtest dein Android-Smartphone mit nur einem Blick entsperren? Wir erklären dir, wie du die Gesichtserkennung aktivierst.

  1. Meltdown und Spectre im Überblick: Grundlagen, Auswirkungen und Praxistipps

    Sicherheitslücken Meltdown und Spectre

    Der erste Pulverdampf hat sich verzogen: c't 3/2018 fasst die wichtigsten Informationen zu den schweren Sicherheitslücken aktueller Prozessoren zusammen, liefert Messergebnisse und bringt Praxistipps.

  2. iPhone-Akku für 29 Euro: (Kleine) Schäden können Austausch viel teurer machen

    iPhone 6

    Viele Nutzer wollen ihre alte Batterie im Moment von Apple für nur 29 Euro ersetzen lassen, um ihr iPhone wieder zu beschleunigen, allerdings bemängelt der Hersteller mitunter Vorschäden am Gerät – und will dann mehrere hundert Euro für den Akkutausch.

  3. Kommentar: Keine Zukunft mit der Cloud

    Kommentar: Keine Zukunft mit der Cloud

    Beim Thema Cloud fürchten die meisten Nutzer den Verlust ihrer Daten. Doch für Administratoren wie Anatoli Kreyman geht es um nicht weniger als ihren Arbeitsplatz.

  4. Nintendo Labo bei der USK: Ist das Kunst oder kann das weg?

    Nintendo Labo bei der USK: Ist das Kunst oder kann das weg?

    Semi-digitale Papp-Spielzeuge sind die Zukunft, weiß Nintendo. Bei der USK landeten die Labo-Bausätze schon vor der offiziellen Ankündigung. Eine Reinigungskraft brachte Nintendos revolutionären Switch-Kartons aber nur wenig Wertzschätzung entgegen.

Anzeige