Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Jürgen Schmidt 270

Alert Tausende Cisco-Switches offen im Internet – Angriffe laufen bereits

Cisco-Netzwerk-Switches offen im Internet

Bild: Cisco

Über 200.000 Cisco Switches sind übers Internet erreichbar und lassen sich umkonfigurieren oder komplett übernehmen; mehrere tausend davon allein in Deutschland. Die Systeme werden bereits angegriffen, doch der Hersteller sieht keine Schwachstelle.

Cisco bietet für seine Switches einen Plug&Play-Dienst zur Fernkonfiguration namens Smart Install. Über diesen lässt sich die aktuelle Konfiguration auslesen, das Gerät konfigurieren oder auch gleich mit neuer Firmware versorgen. Dazu ist kein Passwort erforderlich; Authentifizierung sieht Smart Install nämlich gar nicht vor. Das ist extrem gefährlich, wenn die Smart-Install-Funktion solcher Switches direkt aus dem Internet erreichbar ist. Und genau das ist offenbar bei weltweit über 200.000 Cisco-Switches der Fall.

Die sind dann direkt aus dem Internet konfigurierbar und somit eine ideale Ausgangsbasis für weitere Angriffe im Firmennetz. Das betrifft gemäß der Suchmaschine Shodan allein 6400 Geräte in Deutschland; einige davon sogar bei Betreibern kritischer Infrastruktur. Prinzipiell anfällig sind alle Geräte, die sich über Smart Install einrichten lassen, also vor allem Cisco Switches der Catalyst-Serie, aber auch einige Integrated Service Router. Das Problem ist eigentlich seit fast einem Jahr bekannt, es gibt öffentlich verfügbare Tools, die es ausnutzen, um die Kontrolle über solche Switches zu erlangen. Das setzen Angreifer auch bereits in großem Stil ein.

Smart Install aktiv ausgenutzt

So entdeckten heisec-Leser, die lieber anonym bleiben möchten, vor einigen Tagen auf einem Server mehrere hundert Konfigurations-Dateien für Cisco-Switches, die offenbar mit einem dieser öffentlichen Exploit-Tools abgezogen wurden. Was die Sammler damit vorhatten, ist nicht bekannt – typisch ist solche Informationsbeschaffung etwa bei der Vorbereitung von Angriffen. Die Finder informierten das CERT-Bund des BSI über die gestohlenen Config-Dateien und übergaben diesem eine selbst erstellte Liste mit IP-Adressen möglicherweise anfälliger Geräte in Deutschland.

Das CERT-Bund reagierte prompt und verschickte umgehend eine IT-Sicherheitswarnung an seine Warn- und Alarmierungskontakte in Bund und Ländern, an Betreiber von Kritischen Infrastrukturen sowie an die Mitglieder der Allianz für Cybersicherheit. Darüber hinaus informierte CERT-Bund die jeweils zuständigen Netzbetreiber über die in ihren Netzen möglicherweise angreifbaren IP-Adressen.

Kein Patch von Cisco – jetzt checken

Präsentiert wurde das Problem mit dem ungewollten Smart Install auf Cisco-Geräten bereits 2016 auf einer Sicherheitskonferenz in Moskau; im Februar hat Cisco seine Sicht der Smart-Install-Problematik dargelegt. Demnach handelt es sich nicht um eine Schwachstelle in ihren Produkten, sondern um einen Fehler bei deren Handhabung. Smart Install arbeite genau so wie es soll; wer es aus dem Internet erreichbar macht, handelt grob fahrlässig. Patches oder Sicherheits-Updates, die dieses Problem entschärfen, schließt Cisco kategorisch aus. Administratoren sollten stattdessen ihre Hausaufgaben machen, ist der durchgängige Tenor.

Diese Einschätzung ist nachvollziehbar, aber angesichts hunderttausender, einfach anzugreifender Systeme nicht wirklich zielführend. Immerhin bietet Cisco einen eigenen Scanner namens smi_check an, mit dem Admins nach anfälligen Geräten in ihrem Netz suchen können. Behelfsweise genügt auch ein schneller Port-Scan auf den TCP-Port 4786 im lokalen Netz etwa mit

nmap -sS -p 4786 10.0.0.0/8 

um potentielle Problemfälle aufzuspüren. Wer Geräte mit aktivem Smart-Install gefunden hat, sollte diese Funktion entweder abschalten (no vstack) oder dafür sorgen, dass sie nur für autorisierte Mitarbeiter erreichbar ist. Konkrete Hilfestellung gibt Ciscos Security-Team in einem eigenen Dokument namens Mitigating and Detecting Potential Abuse of Cisco Smart Install Feature.

Noch ist nichts wirklich dramatisches passiert – zumindest nichts, was bekannt geworden wäre. Doch das kann sich sehr schnell ändern. Wer also Cisco-Switches im Einsatz hat, sollte sich möglichst jetzt versichern, dass seine Geräte nicht anfällig sind. Angesichts der Ausmaße ist es auch durchaus eine gute Idee, seine Admins oder andere möglicherweise Betroffene auf das Smart-Install-Problem hinzuweisen. (ju)

270 Kommentare

Themen:

Anzeige
  1. Cisco schließt zum Teil äußerst kritische Sicherheitslücken im IOS-Betriebssystem

    Server

    Im IOS-/IOS-XE-System von Netzwerkgeräten klaffen mehr als ein Dutzend Schwachstellen. Setzen Angreifer an diesen an, sollen sie mit vergleichsweise wenig Aufwand Geräte übernehmen können. Sicherheitsupdates sind verfügbar.

  2. Cisco: Zwei VPN-Lücken und eine Schwachstelle, die offiziell keine ist

    Netzwerk-Switch

    Cisco hat Sicherheitslücken im AnyConnect-VPN und auf seinen ASA-Firewalls gestopft. Ein Sicherheitsproblem mit dem SMI-Protokoll, welches es aus der Ferne erlaubt, neue Betriebssystem-Images auf Switches zu laden, sieht die Firma allerdings nicht.

  3. Cisco patcht sich durch sein Portfolio

    Netzwerkkabel

    Aktuelle Sicherheitsupdates für diverse Geräte und Software des Netzwerkanbieters schließen verschiedene Lücken. Cisco stuft den Bedrohungsgrad durchweg mit "mittel" ein – das CERT Bund sieht das anders.

  4. Cisco schließt kritische Vault-7-Lücke in über 300 Produkten

    Cisco

    Der Netzwerkausrüster Cisco hat rund zwei Monate nach Bekanntwerden einer kritischen Lücke endlich Sicherheits-Updates für etliche Switches geliefert. Öffentlich bekannt wurde die Schwachstelle durch eine Wikileaks-Veröffentlichung aus CIA-Kreisen.

  1. IT-Sicherheit und Datenschutz in IoT-Projekten umsetzen

    Der Security Engineering Lifecycle (SEL) ist von der ersten Produktidee bis zum Ende des Produkts mehrfach zu durchlaufen, um das Sicherheitskonzept immer wieder neu gegenüber den sich stetig ändernden Randbedingungen zu prüfen und es gegebenenfalls anzupassen (Abb. 2).

    Ob Medizintechnik, Automobilbranche oder Automatisierung von Wirtschaftsabläufen: De facto sind viele IoT-Daten und -Anwendungen hoch sensitiv und sollten nur für Berechtigte zugänglich sein. Leider ist das in der Realität oft nicht der Fall.

  2. Progressive Web Apps, Teil 3: Wie die Web-App zur App-App wird

    Progressive Web App auf dem Homebildschirm

    Wenn Webanwendungen künftig so mächtig sein können wie ihre nativen Gegenstücke, wie kann man sie dann von übrigen Websites unterscheiden? Dafür gibt es das Web App Manifest, das zudem das Aussehen der Anwendung auf dem Homebildschirm oder im App-Switcher spezifiziert.

  3. Die Neuerungen von Linux 4.10

    Linux-Kernel 4.10

    Linux 4.10 bringt eine weitere Möglichkeit, um in virtuellen Maschinen den Grafikprozessor des Hosts zu verwenden. Ein RAID-Cache kann die Performance von Festplatten-Arrays steigern. Firefox soll nicht mehr so leicht ruckeln, wenn der Kernel große Datenmengen schreibt. Außerdem unterstützt Linux einen Schlafzustand moderner Notebooks jetzt besser.

  1. Kommentar: Firefox ist wieder cool

    Kommentar: Firefox ist wieder cool

    Mit großem Tamtam hat Mozilla Firefox Quantum veröffentlicht. Ein längst überfälliges Update: Endlich kann es der Browser mit seinem ärgsten Rivalen aufnehmen. (Nicht nur) Chrome-Nutzer sollten einen Blick riskieren und Firefox eine (zweite) Chance geben.

  2. Zweibeiniger Roboter Atlas schafft Salto rückwärts

    Mann schmeißt Atlas um

    Eine neue Version des aufrecht gehenden Roboters Atlas zeigt akrobatische Talente: Kisten sind kein Hindernis mehr, und sogar ein Salto aus dem Stand gelingt – meistens jedenfalls.

Anzeige