Unerlaubter Zugriff über Ciscos Anomaly Detection
In diversen Produkten aus dem Bereich Intrusion-Detection öffnet sich durch eine unvollständige Konfiguration eine Hintertür.
Aufgrund eines Programmierfehlers in der Software-Version 5.0 der Cisco-Produkte Guard und Traffic Anomaly Detector sowie in Routern und Switches mit dem Anomaly Guard Module oder dem Traffic Anomaly Detector können sich Angreifer übers Netz unter Umständen unerlaubten Zugriff über den SSH-Zugang oder das Web-Interface verschaffen. Darüber ließen sich beispielsweise der Netzwerkverkehr abhören, Denial-Of-Service-Angriffe ausführen oder tiefer gehende Informationen über das Netzwerk erlangen.
Damit der Fehler zu Tage tritt, muss laut Hersteller-Advisory die integrierte Nutzerauthentifizierung "Terminal Access Controller Access Control System Plus" (TACACS+) für eine lokale Datenbank konfiguriert worden sein. TACACS+ ist auch in der Lage, Nutzer gegen einen externen TACACS-Server zu authentifizieren. Wurde bei der Einrichtung des Dienstes jedoch kein externer Server angegeben, erhalten Nutzer auch bei fehlgeschlagener Authentifizierung gewisse Zugriffsprivillegien.
Kennt der Angreifer den Login-Namen eines existierenden lokalen Nutzers, erhält er dessen Zugriffsrechte. Kennt er den Namen eines Linux-Accounts, kann er Shell-Zugriff auf das darunter liegende Linux-System erlangen. Unter Angabe eines unbekannten Nutzernamens ist immerhin noch die Ausführung des show-Kommandos möglich.
Ein vorläufiger Workaround besteht laut Cisco darin, mit dem Befehl tacacs-server host eine nicht existierende TACACS-Server-Adresse zu setzen. Der Hersteller empfiehlt jedoch, auf die neue Software-Version 5.1 zu aktualisieren. Diese können registrierte Cisco-Kunden über die in dem Advisory unter Software Versions and Fixes angegebenen Links beziehen.
Siehe dazu auch: (cr)
- TACACS+ Authentication Bypass in Cisco Anomaly Detection and Mitigation Products, Advisory von Cisco
