Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Cisco-Zero-Day: Tausende Geräte haben Hintertüren – über 200 in Deutschland

Angreifer nutzen eine Lücke im Netzwerk-Betriebssystem Cisco IOS XE zum Einbau von Hintertüren. heise Security hat die Lage in Deutschland überprüft.

In Pocket speichern vorlesen Druckansicht 16 Kommentare lesen

(Bild: whiteMocca/Shutterstock.com)

Lesezeit: 4 Min.
Security
Von
  • Dr. Christopher Kunz
Inhaltsverzeichnis

Eine Sicherheitslücke in Ciscos Betriebssystem IOS XE, das Netzwerkswitches und -router antreibt, sorgt weltweit für Aufsehen. Hunderttausende Geräte sind gemäß Schätzungen mithilfe der Suchmaschine Shodan potenziell angreifbar und das Shadowserver-Projekt für internetweite Messungen schätzt über 32.000 erfolgreiche Infektionen. Im deutschsprachigen Raum sind gemäß der Scans von heise Security mindestens 280 Netzwerkgeräte infiziert.

Über das kritische Sicherheitsleck in Cisco IOS XE haben unbekannte Angreifer bereits seit mehreren Wochen Hintertüren auf Netzwerk-Geräten installiert – also lange bevor Cisco das Problem entdeckte und am 16. Oktober bekanntmachte. Cisco-Tochter Talos beschreibt die bislang gefundenen Hintertüren und gibt erste Tipps, wie Cisco-Kunden jetzt ihre Geräte nach einer möglichen Kompromittierung durchsuchen können.

Auf Horch-POSTen für Hintertürchen

Soweit bekannt, sind alle Geräte mit dem Betriebssystem Cisco IOS XE angreifbar, deren Web-UI aktiviert ist. Angreifer können also über einen internetweiten Scan ganz einfach mögliche Opfer auskundschaften; auch die von Talos beschriebene Hintertür lässt sich über das Internet aufspüren. Um uns ein Bild der Lage zu verschaffen, haben wir daher über die einschlägige Suchmaschine Shodan zunächst eine Liste aller IP-Adressen von öffentlich erreichbaren IOS-XE-Geräten in Deutschland, Österreich und der Schweiz erstellt.

Mit einer simplen HTTP-POST-Anfrage auf /webui/logoutconfirm.html?logon_hash=1 prüften wir bei jeder IP-Adresse nacheinander auf Port 80 und 443, ob der Webserver eine 18-stellige hexadezimale Zeichenkette zurücklieferte. Tut er das, so ist das Gerät laut Talos bereits mit einer Hintertür ausgestattet – die Zeichenkette scheint eine eindeutige Identifikation für die Inventardatenbank der Täter zu sein. Ein simples Script, das für jeden der gut 2200 Einträge in unserer Adresstabelle eine entsprechende Anfrage absetzt, führte den eigentlichen Test durch. Geräte, die zwischen dem letzten Crawling-Durchlauf der IP-Suchmaschine und unseren Tests abgeschaltet oder abgeschottet wurden, haben wir ignoriert – das Skript lief dann einfach in einen Timeout.

281 Geräte in DACH mit Hintertür

Insgesamt haben wir bei unserem schnellen Test 281 Geräte im DACH-Raum gefunden, die bereits unter der Kontrolle der Angreifer stehen. 219 davon fanden sich in Deutschland. In Östereich sind weniger Netzwerkkomponenten übernommen worden, nämlich 7,7 Prozent der überprüften Systeme; insgesamt müssen im DACH-Bereich 12,7 Prozent als "geownt" gelten.

Dabei ist zu beachten, dass unsere Tests nur die untere Grenze der möglicherweise betroffenen Netzwerkgeräte aufzeigt: Um uns ins Netz zu gehen, muss die Web-UI aus dem Internet erreichbar sein und das Gerät darf nicht kürzlich neu gestartet worden sein. Das setzt nämlich diese Hintertür außer Betrieb; die durch Angreifer heimlich erstellten Administratorkonten bleiben jedoch nach einem Neustart bestehen und erlauben selbst dann einen unautorisierten Zugriff, wenn das Backdoor-Skript nicht mehr existiert.

Erste Hilfe für IOS-XE-Admins

Admins, in deren Netz sich Cisco-Geräte mit IOS XE befinden, sollten diese also in jedem Fall überprüfen und bis dahin als kompromittiert betrachten. Dabei empfiehlt sich ein zweistufiges Vorgehen.

  1. Zunächst sollte der Admin jedes Gerät mittels des Befehls curl -X POST http://IP/webui/logoutconfirm.html?logon_hash=1 (der Platzhalter IP steht für die IP-Adresse des Geräts) auf die Backdoor überprüfen. Nachweislich infizierte Geräte gehören sofort in Quarantäne und schnellstmöglich mit einem sauberen Konfigurationsbackup neu installiert.
  2. Für Geräte, die noch kein derartiges Hintertürchen aufweisen, besteht noch Hoffnung – hier sollte der Admin sich per SSH einloggen und das System genau unter die Lupe nehmen. Finden sich unerklärbare Nutzerkonten mit Administrator-Privilegien (Berechtigungsebene 15) oder verdächtige Einträge in den Protokolldateien, ist eine Neuinstallation fällig.

Die Web-UI abzuschalten und das Gerät vor Zugriffen aus dem Internet abzuschotten, ist außerdem Pflichtprogramm für Netzwerker, die nicht erneut unerwünschten Besuch bekommen möchten. Die Informationen zu den bereits kompromittierten IP-Adressen haben wir an CERTs weitergereicht, die versuchen, betroffene Firmen zu informieren. Überdies stellen wir sie auf Anfrage auch unseren heise-Security-Pro-Mitgliedern zur Verfügung.

Update

WIr haben den URL zum Web-UI korrigiert.

(cku)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten