Tausende Cisco-Switches offen im Internet – Angriffe finden bereits statt
Mehr als 200.000 Cisco Switches sind über das Internet erreichbar. Somit lassen sich diese umkonfigurieren oder vollständig übernehmen. Mehrere tausend davon werden in Deutschland eingesetzt. Die Systeme werden bereits attackiert, der Hersteller sieht jedoch keine Schwachstelle. Cisco bietet für seine Switches einen Plug&Play-Dienst zur Fernkonfiguration mit dem Namen Smart Install. Hiermit lässt sich die aktuelle Konfiguration auslesen, das Gerät konfigurieren oder auch gleich mit neuer Firmware versorgen. Hierfür ist kein Passwort nötig. Smart Install sieht nämlich gar keine Authentifizierung vor. Dies stellt eine große Gefahr dar, wenn die Smart-Install-Funktion solcher Switches direkt aus dem Internet erreichbar ist. Dies ist offenbar bei weltweit mehr als 200.000 Cisco-Switches der Fall.
Anfällig sind alle Geräte, besonders aber Cisco Switches der Catalyst-Serie, aber auch einige Integrated Service Router. Das Problem ist seit nahezu einem Jahr bekannt. Es gibt öffentlich verfügbare Tools, die es ausnutzen, um die Kontrolle über solche Switches zu erlangen. Angreifer setzen das auch schon im großen Stil ein.
Smart Install aktiv ausgenutzt
Anonyme Nutzer entdeckten kürzlich, dass vor einigen Tagen auf einem Server mehrere hundert Konfigurations-Dateien abgezogen wurden. Die Intentionen und Ziele der Sammler blieben unklar. Solche Informationsbeschaffungen sind bei der Vorbereitung von Angriffen typisch. Die Finder informierten das CERT-Bund des BSI über die gestohlenen Config-Dateien und übergaben diesem eine selbst erstellte Liste mit IP-Adressen möglicherweise anfälliger Geräte in Deutschland.
Das CERT-Bund reagierte prompt und verschickte umgehend eine IT-Sicherheitswarnung an seine Warn- und Alarmierungskontakte in Bund und Ländern, an Betreiber von Kritischen Infrastrukturen sowie an die Mitglieder der Allianz für Cybersicherheit. Darüber hinaus informierte CERT-Bund die jeweils zuständigen Netzbetreiber über die in ihren Netzen möglicherweise angreifbaren IP-Adressen.
Kein Patch von Cisco – jetzt prüfen
Präsentiert wurde das Problem mit dem ungewünschten Smart Install auf Cisco-Geräten bereits 2016 auf einer Sicherheitskonferenz in Moskau. Im Februar hat Cisco seine Sicht der Smart-Install Problematik dargelegt. Demnach handelt es sich nicht um eine Schwachstelle in ihren Produkten, sondern um einen Fehler bei deren Handhabung. Smart Install arbeite genau so, wie es soll. Wer es aus dem Internet erreichbar macht, handelt grob fahrlässig. Patches oder Sicherheits-Updates, die dieses Problem entschärfen, schließt Cisco kategorisch aus. Administratoren sollten stattdessen ihre Hausaufgaben machen, ist der durchgängige Tenor.
Diese Einschätzung ist nachvollziehbar, jedoch angesichts hunderttausender, einfach anzugreifender Systeme nicht zielführend. Cisco bietet immerhin einen eigenen Scanner mit der Bezeichnung smi check an. Hiermit können Admins nach anfälligen Geräten in ihrem Netz suchen können. Behelfsweise reicht auch ein schnellerer Port-Scan auf den TCP-Port 4786 im lokalen Netz etwa mit dem Befehl
nmap –sS –p 4786 10.0.0.0/8
um potenzielle Problemfälle aufzuspüren. Wer Geräte mit aktivem Smart-Install gefunden hat, sollte diese Funktion entweder deaktivieren (no vstack) oder dafür sorgen, dass sie nur für autorisierte Mitarbeiter erreichbar ist. Konkrete Hilfestellung gibt Ciscos Security-Team in einem eigenen Dokument namens Mitigating and Detecting Potential Abuse of Cisco Smart Install Feature.
Bis jetzt gab es keine dramatischen Auswirkungen, die bekannt geworden wären. Doch dies kann sich schnell ändern. Wer also Cisco-Switches im Einsatz hat, sollte sich möglichst jetzt versichern, dass seine Geräte nicht anfällig sind. Angesichts der Ausmaße ist es auch durchaus eine gute Idee, seine Admins oder andere möglicherweise Betroffene auf das Smart-Install-Problem hinzuweisen.
Die incoperating als Partner bezüglich IT-Sicherheit
Die incoperating unterstützt Sie bei der Implementierung einer optimalen IT-Sicherheit. Dafür liefern uns unsere Partner Sophos, Fortinet und Bitdefender die passenden Produkte. Auch in den Bereichen Servervirtualisierung, Softwareverteilung und E-Mail-Server-Wartung ist die incoperating mit ihrem Leistungsportfolio vertreten. Kontaktieren Sie uns jetzt telefonisch oder per E-Mail wenn Sie unser kostenloses und unverbindliches IT-Audit in Anspruch nehmen wollen. Dieses erlaubt Ihnen, unsere Services und Arbeitsqualität genauer kennenzulernen.
Originalartikel: https://www.heise.de/security/meldung/Tausende-Cisco-Switches-offen-im-Internet-Angriffe-laufen-bereits-3882810.html