NSA-Exploit ExtraBacon soll deutlich mehr Cisco-Firewalls bedrohen
Untersuchungen von Sicherheitsforschern legen nahe, dass auch neuere Version der Cisco Adaptive Security Appliance (ASA) angreifbar sind.
(Bild: dpa, Felix Kästle/Illustration)
Sicherheitsforscher von SilentSignal haben den geleakten NSA-Exploit ExtraBacon eigenen Angaben zufolge so modifiziert, dass sie auch aktuelle Firewalls der Adaptiv-Security-Appliance-Reihe (ASA) von Cisco angreifen konnten. In seiner Ur-Form funktionierte der Exploit ausschließlich bis Version 8.4. Attacken auf neuere Versionen wurden mit einer Fehlermeldung quittiert.
Die Dauer für die Anpassung war dem Sicherheitsforscher Balint Varga-Perke zufolge zeitlich überschaubar. Da Ciscos ASA-Software keinen effektiven Schutz vor Exploits habe, "hätten es Angreifer besonders einfach", teilte VargaPerke gegenüber dem Technik-Portalk Ars Technica mit.
Die Lücke klafft im Simple Network Management Protocol (SNMP) der ASA-Software. Ein Angreifer soll sie ohne Authentifizierung aus der Ferne ausnutzen können, um eigenen Code auszuführen und im schlimmsten Fall ein komplettes System zu kapern. Cisco stuft den Bedrohungsgrad der Lücke mit hoch ein.
Unbedingt absichern
Varga-Perke geht davon aus, dass bereits auch andere Parteien über angepasste Exploits verfügen. Admins können entweder den SNMP-Zugriff nur für bestimmte Nutzer freigeben oder über über eine Software von Cisco Attacken erkennen und stoppen. Nun liegt es an dem Unternehmen, den zugrundeliegenden Bug endgültig zu patchen.
Für weitere Lücken im Kontext der NSA-Exploits hat Cisco bereits Anfang dieser Woche Sicherheits-Patches zur Verfügung gestellt.
Eine Hacker-Gruppe namens Shadow Brokers hat von der sogenannten Equation Group Hacker-Tools abgezogen und veröffentlicht. Neben Aussagen von mehreren Sicherheitsforschern legen auch Auszüge aus den Snowden-Dokumenten die Echtheit der Tools nahe. Diese Hinweise nähren zudem die Vermutung, dass die NSA hinter der Equation Group steckt. (des)
