Ciscos Einbruchserkennung lässt sich fehlerhafte Daten unterjubeln
Ciscos IDS prüft die Zertifikate oder den Public Key verbundener System nicht. Ein Angreifer könnte so etwa einen Sensor simulieren und fehlerhafte Daten an die Server senden.
- Daniel Bachfeld
Digitale Zertifikate dienen bei SSL- und SSH-Verbindungen eigentlich dazu, die Echtheit des Kommunikationspartners zu verifizieren. Dumm nur, wenn ein Produkt ein übermitteltes Zertifikat gar nicht prüft und die Verbindungsaufnahme von jedermann erlaubt. Solch ein Problem hat Cisco in seinem Security Monitoring, Analysis and Response System (CS-MARS) und dem Adaptive Security Device Manager (ASDM) gemeldet. Die Produkte dienen der Erkennung von Angriffen in Netzwerken und sind in der Lage, automatisch Gegenmaßnahmen zu ergreifen. Dazu sammeln sie Daten von IPS-Sensoren, Firewalls und Switches im Netz und korrelieren sie.
Beide Systeme prüfen nach Angaben des Herstellers beim Verbindungsaufbau das Zertifikat oder den Public Key nicht auf Authentizität. Ein Angreifer könnte so etwa einen Sensor fälschen und fehlerhafte Daten an die Server senden, um eine Reaktion des Überwachungssystems zu provozieren oder sogar, um eine Reaktion zu unterdrücken. Je nach Konfiguration könnte er auch an vertrauliche Daten gelangen. Dazu müsste er aber zunächst den Original-Sensor ersetzen oder außer Betrieb setzen.
Betroffen sind die Versionen von CS-Mars bis einschließlich 4.2.3 sowie ASDM bis einschließlich 5.2 (2.54). Der Hersteller stellt Updates bereit, die die Probleme beheben.
Siehe dazu auch:
- SSL/TLS Certificate and SSH Public Key Validation Vulnerability, Fehlerbericht von Cisco
(dab)
