Ciscos Clean Access: kein Ausweis nötig
Ciscos Clean Access-Software soll Firmennetze vor dem Zugriff mit infizierten Rechnern schützen. Eine fehlende Authentifizierung in einer API ermöglicht dennoch Zugriff für jedermann.
Ciscos Software für wehrhafte Netze öffnet aufgrund eines Fehlers die Netzwerk-Tore weit, anstatt sie für Unbefugte zu schließen. Ein zentraler Baustein von Ciscos Vision ist Network Admission Control (NAC). Sie soll sicherstellen, dass nur Systeme Zugriff aufs Firmennetz erhalten, die dessen Sicherheitsstandards genügen -- also beispielsweise mit aktuellen Signaturen für die Antivirenlösung und Firewalls arbeiten. Ciscos Clean Access (CCA) ist eine der ersten Umsetzungen von NAC.
Der Clean Access-Manager bietet ein Application Programming Interface (API) an, mit der Dritthersteller Programme erstellen können, die auf die Server-Dienste zugreifen. Diese API lässt sich in den diversen Versionen des CCA ohne Authentifizierung nutzen. Programmierer mit krimineller Energie könnten über diese API folgende Aktionen durchführen:
- Verändern der Liste als der "sauber" geltenden Rechner,
- Verändern der Benutzerrollen ( = Zugriffsberechtigungen),
- Abrufen von Benutzerinformationen,
- Abfragen der Login-Zeiten von Benutzern,
- Verändern der Timeout-Werte für Benutzer-Sessions.
Zudem sind noch weitere Funktionen aufrufbar, die Cisco in seinem Advisory mit einem Link auf das Handbuch zur Installation und Administration des Cisco-Clean-Access-Managers abbĂĽgelt.
Die denkbaren Schadszenarien listet Cisco folgendermaĂźen auf:
- Rechner können zur "Sauber"-Liste hinzugefügt werden, so dass sie unabhängig von ihrem tatsächlichen Zustand Zugriff auf das Netzwerk erhalten.
- Maschinen können von der "Sauber"-Liste entfernt werden, so dass diese keinen Zugriff auf das Netzwerk erhalten.
- Benutzern können nicht vorgesehene Berechtigungen gegeben werden, die ihnen Zugriff auf Netzwerkbereiche gewähren, von denen sie ausgeschlossen sein sollten.
- Offenlegung von vertraulichen Benutzer-Informationen. Ein Angreifer könnte Benutzernamen und zugeordnete Eigenschaften sammeln.
Der Fehler findet sich in den Versionen 3.3.0 bis 3.3.9, 3.4.0 bis 3.4.5 und 3.5.0 bis 3.5.3 der CCA-Software. Nicht von der LĂĽcke betroffen sind Versionen vor 3.3.0 sowie ab 3.5.4.
Cisco stellt für die betroffenen Versionen Updates bereit. Nach dem Einspielen werden selbstgeschriebene Skripte gegen die Benutzerdatenbank authentifiziert. Cisco rät dazu, vor dem Upgrade zu überprüfen, ob die betroffenen Rechner über genügend Speicher verfügen und ob die Hard- und Software-Konfiguration auch von der neuen Software unterstützt wird.
Siehe dazu auch: (dmk)
- Security Advisory von Cisco
- Cisco Clean Access-Updates von Cisco (Registrierung erforderlich)
