Cisco schließt kritische Vault-7-Lücke in über 300 Produkten
Der Netzwerkausrüster Cisco hat rund zwei Monate nach Bekanntwerden einer kritischen Lücke endlich Sicherheits-Updates für etliche Switche geliefert. Öffentlich bekannt wurde die Schwachstelle durch eine Wikileaks-Veröffentlichung aus CIA-Kreisen. Betroffen sind mehr als 300 Produkte des Unternehmens. Die Lücke besteht im Cluster Management Protocol (CMP), welches von den Switches genutzt wird, um in einem Cluster miteinander zu kommunizieren.
CMP nutzt Telnet-Verbindungen. Die verwundbaren Switches werten über Telnet eintreffende CMP-Pakete auch dann aus, wenn sie von außen kommen. Fatalerweise kommt es in einer der Funktionen, die mit den eingehenden Paketen in Kontakt kommen, zu einem ausnutzbaren Pufferüberlauf. Ein Angreifer kann letztlich Code auf dem Switch ausführen – und das ist in hohem Maße gefährlich, da der Eindringling aus dieser komfortablen Position aus beliebig schalten und verwalten kann. Wer Kontrolle über den Switch hat, kann außerdem Schutzmaßnahmen wie VLAN-Konfigurationen umgehen, die der Switch durchsetzt.
Admins müssen handeln
Schützen konnte man sich in der Vergangenheit nur durch einen Workaround: Cisco hatte empfohlen, das Telnet-Protokoll für eingehende Verbindungen zu verbieten und bei Bedarf auf SSH zu setzen. Jetzt hat das Unternehmen Security-Updates nachgereicht, die das Problem an der Wurzel packen sollen. Die Liste der betroffenen Geräte hat 318 Einträge, darunter befinden sich vor allem die verbreiteten Catalyst-Switches des Unternehmens.
Verbindung zu CIA
Wer ein solches Gerät administriert, sollte sicherstellen, dass die fehlerbereinigte Software installiert ist. Es kursiert nämlich bereits ein Exploit, der es Angreifern leichtmacht, die verwundbaren Switches zu kapern. Bekannt geworden war die Schwachstelle, nachdem Wikileaks im März ein Datenpaket der CIA ins Netz stellte, das aufzeigt, wie die US-Behörde vernetzte Geräte infiltriert.
Laut den geleakten Daten ist das CIA seit rund zwei Jahren mit der Schwachstelle beschäftigt. Ob die US Behörde die Lücke tatsächlich ausgenutzt hat, ist nicht bekannt. Die CIA hat dem Sicherheitsproblem den Codenamen ROCEM verpasst, Cisco nennt sie CVE-2017-3881.
Die incoperating als Ihr Ansprechpartner bezüglich Switches
Bei Fragen zu Switches im Allgemeinen können Sie uns gerne eine E-Mail schreiben oder uns anrufen. Als IT-Dienstleister in München ist die incoperating der richtige Ansprechpartner bezüglich IT-Sicherheit, IT-Support, Firewalls, Software, Server-Betrieb, Migrationsprojekte etc. Mit den Switch-Lösungen von Cisco oder Zyxel, die wir ebenfalls nutzen, sind die Anforderungen Ihres IT-Netzwerks optimal gedeckt. Auch in den Bereichen Firewalls und Anti-Spam allgemein sowie Hackangriffen, Benutzerverwaltung, Berechtigungsmanagement und allen anderen Punkten der IT-Sicherheit ist die incoperating mit ihrem Leistungsportfolio als IT-Partner vertreten. Kostenlose und unverbindliche Erstberatungstermine verschaffen Ihnen ein genaues Bild von uns, wenn Sie sich für IT-Support interessieren. Gleichzeitig lernen Sie die incoperating so kennen und haben dabei auch die Möglichkeit, die Servicedetails und Vertragsmöglichkeiten kennenzulernen und zu besprechen.
Originalartikel: https://www.heise.de/newsticker/meldung/Cisco-schliesst-kritische-Vault-7-Luecke-in-ueber-300-Produkten-3709736.html