Ciscos Intrusion-Detection und -Prevention ausgehebelt

Ciscos Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS) zum Erkennen und Abwehren von Angriffen auf das Netzwerk enthalten Fehler, die einem Angreifer das Ausspähen von Zugangsdaten sowie bei erfolgreichem Login die Ausweitung der Zugriffsrechte ermöglichen.

In CiscoWorks Management Center for IDS Sensors (IDSMC) und Ciscos Monitoring Center for Security (Secmon) bietet ein Fehler in der Verarbeitung von SSL-Zertifikaten die Möglichkeit, der Software ein vertrauenswürdiges Cisco-IDS- oder -IPS-System vorzugaukeln. Das IDSMC und Secmon laufen beispielsweise auf Internet-Gateways auf Windows-2000-Basis, auf Cisco-Netzwerk-Switches, auf Cisco-Routern oder auf den Hosts im Netzwerk. IDSMC ist ein Software-Agent, der zur Konfiguration und zum Signaturmanagement in Ciscos IDS und IPS dient. Secmon stellt einen Log- und Report-Server für Netzwerk-Ereignisse dar. Die SSL-Zertifikate dienen zur gegenseitigen Authentifizierung der Clients und Server zwecks gesicherter Kommunikation. Offenbar erhalten IDSMC und Secmon sehr weitreichenden Zugriff auf den Systemen, da sich über diese Lücke Zugangsdaten abgreifen lassen.

Der zweite Fehler betrifft Ciscos Intrusion-Prevention-System. Die Verarbeitung von Kommandozeilen enthält einen Logikfehler, der Benutzern mit den eingeschränkten OPERATOR- oder VIEWER-Rechten ermöglicht, sich volle Administrationsrechte zu verschaffen. Damit ließe sich Ciscos Advisory zufolge die Einbruchserkennung aushebeln, das Netzwerk komplett lahmlegen oder beliebiger Code einschleusen und ausführen.

Fehlerhaft sind die Versionen 2.0 und 2.1 des IDSMC, Secmon von Version 1.1 bis 2.1 und das Cisco IPS in Version 5.0(1) und 5.0(2). Cisco verlinkt kostenfreie Updates für die betroffenen Produkte in den Security-Advisories.

Siehe dazu auch: (dmk)

• Security Advisory von Cisco zu IPSMC und Secmon
• Security Advisory von Cisco zum Fehler im IPS