Cisco-Updates: Angreifer könnten als Root Firewalls und Switches übernehmen
Sicherheitsupdates schließen vor allem im Netzwerkbetriebssystem NX-OS von Cisco Schwachstellen. Aber auch Adaptive Security Appliance ist verwundbar.
Viele Firewalls und Switches vom Netzwerkausrüster Cisco sind verwundbar. Der Großteil der nun geschlossenen Sicherheitslücken findet sich im Netzwerkbetriebssystem NX-OS. Cisco hat den Bedrohungsgrad mit "hoch" eingestuft.
Angreifbar sind beispielsweise Netzwerkgeräte der Serien Nexus 9000, MDS 9000 und USC 6400. Weitere Infos zu Angriffsszenarien, Lücken und Updates listet Cisco in seinem Sicherheitscenter auf.
DoS und Remote Code Execution
Nutzen Angreifer die Schwachstellen aus, könnten sie beispielsweise durch das alleinige Senden von präparierten HTTP-Paketen an das Management-Interface Code mit Root-Rechten ausführen. Außerdem könnten manipulierte LDAP-, Service- und TCP-Pakete Netzwerkgeräte mit FXOS und NX-OS einen DoS-Zustand auslösen und Geräte so lahmlegen. Viele Attacken sollen aus der Ferne ausführbar sein.
Aufgrund einer Verwundbarkeit in der Kommandozeile in NX-OS, könnte sich ein lokaler Angreifer höhere Rechte aneignen und am Ende als Admin dastehen. Außerdem ist es möglich, dass authentifizierte lokale Angreifer Konfigurationsdateien umschreiben könnten.
Neben Geräten mit NX-OS ist auch Adaptive Security Appliance angreifbar. Hier könnte ein manipulierter HTTP-Stream die Schutzlösung via DoS-Attacke ausknipsen.
Nexus-Switches sicherer machen
In einem Sicherheitshinweis empfiehlt Cisco Admins, die Switches der Nexus-Serie pflegen, die Funktion PowerOn Auto Provisioning (POAP) aus Sicherheitsgründen zu deaktivieren. POAP ist in NX-OS standardmäßig aktiviert. Die Funktion hilft unter anderem bei der Einrichtung und automatisiert Prozesse.
Ist POAP aktiv, sollen Angreifer im gleich Netzwerk durch das Versenden von DHCP-Anfragen Konfigurationen verändern können. Eine komplette Übernahme von Geräten soll auf diesem Weg aber nicht möglich sein.
Liste nach Bedrohungsgrad absteigend sortiert:
- NX-OS Software NX-API Command Injection
- Adaptive Security Appliance Web Services Denial of Service
- FXOS and NX-OS Lightweight Directory Access Protocol Denial of Service
- NX-OS Software Cisco Fabric Services Denial of Service
- NX-OS Software Netstack Denial of Service
- Nexus 9000 Series Switches Standalone NX-OS Mode Tetration Analytics Agent Arbitrary Code Execution
- NX-OS Software Privilege Escalation
- NX-OS Software Bash Shell Privilege Escalation
- NX-OS Software Unauthorized Filesystem Access
- Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Shell Escape
- NX-OS Software Bash Shell Role-Based Access Control Bypass Privilege Escalation
- NX-OS Software NX-API Arbitrary Code Execution
- NX-OS Software Privilege Escalation
- NX-OS Software 802.1X Extensible Authentication Protocol over LAN Denial of Service
- Nexus 5600 and 6000 Series Switches Fibre Channel over Ethernet Denial of Service
- Nexus 9000 Series Switches Standalone NX-OS Mode Fibre Channel over Ethernet NPV Denial of Service
- NX-OS Software Privilege Escalation
- NX-OS Software Image Signature Verification
- Nexus 9000 Series Fabric Switches Application-Centric Infrastructure Mode Privilege Escalation
- FXOS and NX-OS Software Unauthorized Directory Access
- Enterprise Chat and Email Cross-Site Scripting
- DNA Center Access Contract Stored Cross-Site Scripting
- NX-OS Software CLI Command Injection
- Nexus 9000 Series Fabric Switches Application-Centric Infrastructure Mode Arbitrary File Read
- Application Policy Infrastructure Controller IPv6 Link-Local Address
- NX-OS Software CLI Command Injection CVE-2019-1613
- NX-OS Software CLI Command Injection CVE-2019-1612
- FXOS and NX-OS Software CLI Command Injection CVE-2019-1611
- NX-OS Software CLI Command Injection CVE-2019-1610
- NX-OS Software CLI Command Injection CVE-2019-1609
- NX-OS Software CLI Command Injection CVE-2019-1608
- NX-OS Software CLI Command Injection CVE-2019-1607
(des)