Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.556 Produkten

Jürgen Schmidt 270

Alert Tausende Cisco-Switches offen im Internet – Angriffe laufen bereits

Cisco-Netzwerk-Switches offen im Internet

Bild: Cisco

Über 200.000 Cisco Switches sind übers Internet erreichbar und lassen sich umkonfigurieren oder komplett übernehmen; mehrere tausend davon allein in Deutschland. Die Systeme werden bereits angegriffen, doch der Hersteller sieht keine Schwachstelle.

Cisco bietet für seine Switches einen Plug&Play-Dienst zur Fernkonfiguration namens Smart Install. Über diesen lässt sich die aktuelle Konfiguration auslesen, das Gerät konfigurieren oder auch gleich mit neuer Firmware versorgen. Dazu ist kein Passwort erforderlich; Authentifizierung sieht Smart Install nämlich gar nicht vor. Das ist extrem gefährlich, wenn die Smart-Install-Funktion solcher Switches direkt aus dem Internet erreichbar ist. Und genau das ist offenbar bei weltweit über 200.000 Cisco-Switches der Fall.

Anzeige

Die sind dann direkt aus dem Internet konfigurierbar und somit eine ideale Ausgangsbasis für weitere Angriffe im Firmennetz. Das betrifft gemäß der Suchmaschine Shodan allein 6400 Geräte in Deutschland; einige davon sogar bei Betreibern kritischer Infrastruktur. Prinzipiell anfällig sind alle Geräte, die sich über Smart Install einrichten lassen, also vor allem Cisco Switches der Catalyst-Serie, aber auch einige Integrated Service Router. Das Problem ist eigentlich seit fast einem Jahr bekannt, es gibt öffentlich verfügbare Tools, die es ausnutzen, um die Kontrolle über solche Switches zu erlangen. Das setzen Angreifer auch bereits in großem Stil ein.

So entdeckten heisec-Leser, die lieber anonym bleiben möchten, vor einigen Tagen auf einem Server mehrere hundert Konfigurations-Dateien für Cisco-Switches, die offenbar mit einem dieser öffentlichen Exploit-Tools abgezogen wurden. Was die Sammler damit vorhatten, ist nicht bekannt – typisch ist solche Informationsbeschaffung etwa bei der Vorbereitung von Angriffen. Die Finder informierten das CERT-Bund des BSI über die gestohlenen Config-Dateien und übergaben diesem eine selbst erstellte Liste mit IP-Adressen möglicherweise anfälliger Geräte in Deutschland.

Das CERT-Bund reagierte prompt und verschickte umgehend eine IT-Sicherheitswarnung an seine Warn- und Alarmierungskontakte in Bund und Ländern, an Betreiber von Kritischen Infrastrukturen sowie an die Mitglieder der Allianz für Cybersicherheit. Darüber hinaus informierte CERT-Bund die jeweils zuständigen Netzbetreiber über die in ihren Netzen möglicherweise angreifbaren IP-Adressen.

Präsentiert wurde das Problem mit dem ungewollten Smart Install auf Cisco-Geräten bereits 2016 auf einer Sicherheitskonferenz in Moskau; im Februar hat Cisco seine Sicht der Smart-Install-Problematik dargelegt. Demnach handelt es sich nicht um eine Schwachstelle in ihren Produkten, sondern um einen Fehler bei deren Handhabung. Smart Install arbeite genau so wie es soll; wer es aus dem Internet erreichbar macht, handelt grob fahrlässig. Patches oder Sicherheits-Updates, die dieses Problem entschärfen, schließt Cisco kategorisch aus. Administratoren sollten stattdessen ihre Hausaufgaben machen, ist der durchgängige Tenor.

Diese Einschätzung ist nachvollziehbar, aber angesichts hunderttausender, einfach anzugreifender Systeme nicht wirklich zielführend. Immerhin bietet Cisco einen eigenen Scanner namens smi_check an, mit dem Admins nach anfälligen Geräten in ihrem Netz suchen können. Behelfsweise genügt auch ein schneller Port-Scan auf den TCP-Port 4786 im lokalen Netz etwa mit

nmap -sS -p 4786 10.0.0.0/8 

um potentielle Problemfälle aufzuspüren. Wer Geräte mit aktivem Smart-Install gefunden hat, sollte diese Funktion entweder abschalten (no vstack) oder dafür sorgen, dass sie nur für autorisierte Mitarbeiter erreichbar ist. Konkrete Hilfestellung gibt Ciscos Security-Team in einem eigenen Dokument namens Mitigating and Detecting Potential Abuse of Cisco Smart Install Feature.

Noch ist nichts wirklich dramatisches passiert – zumindest nichts, was bekannt geworden wäre. Doch das kann sich sehr schnell ändern. Wer also Cisco-Switches im Einsatz hat, sollte sich möglichst jetzt versichern, dass seine Geräte nicht anfällig sind. Angesichts der Ausmaße ist es auch durchaus eine gute Idee, seine Admins oder andere möglicherweise Betroffene auf das Smart-Install-Problem hinzuweisen. (ju)

Anzeige

270 Kommentare

Themen:

Anzeige
  1. Löchriger Plug-and-Play-Dienst "Smart Install" gefährdet Cisco-Switches

    Cisco

    Nicht zum ersten Mal warnen Sicherheitsforscher vor potenziellen Schwachstellen in Ciscos "Smart Install"-Software. Wer wirklich smart ist, sollte diese angesichts einer aktuellen Angriffswelle komplett deaktivieren.

  2. Cisco patcht sich durch sein Portfolio

    Netzwerkkabel

    Aktuelle Sicherheitsupdates für diverse Geräte und Software des Netzwerkanbieters schließen verschiedene Lücken. Cisco stuft den Bedrohungsgrad durchweg mit "mittel" ein – das CERT Bund sieht das anders.

  3. Cisco schließt zum Teil äußerst kritische Sicherheitslücken im IOS-Betriebssystem

    Server

    Im IOS-/IOS-XE-System von Netzwerkgeräten klaffen mehr als ein Dutzend Schwachstellen. Setzen Angreifer an diesen an, sollen sie mit vergleichsweise wenig Aufwand Geräte übernehmen können. Sicherheitsupdates sind verfügbar.

  4. Sicherheitsupdates: Flash-Datei kann Ciscos WebEx Client kompromittieren

    Sicherheitsupdates: Flash-Datei kann Ciscos WebEx Client kompromittieren

    Cisco hat zahlreiches Patches veröffentlicht und schließt mitunter kritische Sicherheitslücken. Zudem geben sie Tipps, wie Admins Netzwerke absichern sollten.

  1. Progressive Web Apps, Teil 3: Wie die Web-App zur App-App wird

    Progressive Web App auf dem Homebildschirm

    Wenn Webanwendungen künftig so mächtig sein können wie ihre nativen Gegenstücke, wie kann man sie dann von übrigen Websites unterscheiden? Dafür gibt es das Web App Manifest, das zudem das Aussehen der Anwendung auf dem Homebildschirm oder im App-Switcher spezifiziert.

  2. Mein Internet ist langsam - was tun?

    Trotz teurer DSL-Tarife läuft die Online-Verbindung im Schneckentempo? Das hat oft technische Ursachen, die Sie selbst verbessern können.

  3. Android Smart Lock: Vertrauenswürdiges Gerät hinzufügen

    Sie möchten in Android ein vertrauenswürdiges Gerät hinzufügen? Wir zeigen Ihnen, wie das geht.

  1. Wiener Motorensymposium: Volkswagen hybridisiert den Golf VIII

    alternative Antriebe, Elektroautos

    Volkswagen elektrifiziert die Massen: Auf dem Wiener Motorensymposium konkretisieren die Wolfsburger Ingenieure, wie sie sich die flächendeckende Hybridisierung des Golfs vorstellen. Erstmals erwähnt Volkswagen offiziell den Golf VIII, der 2019 eingeführt werden soll

  2. 180-Euro-Smartphone Honor 7C nun auch in Deutschland

    Einsteiger-Smartphone Honor 7C kommt für 180 Euro nach Deutschland

    Das Honor 7C kann jetzt auch in Deutschland gekauft werden. Zum Marktstart kostet das Smartphone der Huawei-Tochter 180 Euro. Dafür bekommt man kompetente Hardware, die allen gängigen Anwendungen gewachsen sein sollte.

  3. Astronomen verblüfft über Megafusion großer Galaxien

    Astronomen verblüfft über Megafusion großer Galaxien

    Gleich zwei Mal haben Forscher gewaltige Galaxienhaufen aufgespürt – weit zurück im jungen Universum. Dass sie zu jener Zeit schon zu Haufen verschmolzen, lässt die Astronomen rätseln. Beeindruckend ist noch eine andere Eigenheit der Massemonster.

  4. Außenminister Maas und der politische Prozess zur Ablösung Baschar al-Assads

    Syrien: Wiederaufbauhilfen aus dem Westen, um das "Regime mit dem Monster" auszuhebeln? Das politische Interesse ist klar, der moralische Grund trüb

Anzeige