Alert!

Cisco schließt Root-Lücke in Netzwerk-OS, gibt wichtige Hinweise für Firewalls

Wer eine Firewall von Cisco nutzt, sollte diese aus Sicherheitsgründen bis Anfang März aktualisieren. Außerdem gibt es Patches für NX-OS.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
Update
Lesezeit: 2 Min.
Von
  • Dennis Schirrmacher

Um Angreifern den Wind aus den Segeln zu nehmen, bekommen viele Cisco-Firewalls spezielle von den Sicherheitsforschern von Cisco Talos ausgespielte Malware-Erkennunsregeln serviert. Doch wer jetzt nicht reagiert, verliert diese Extra-Schutzschicht im März. Zusätzlich schließt der Netzwerkausrüster unter anderem eine Root-Lücke im Netzwerk-Betriebssystem NX-OS.

In einem Beitrag führt Cisco aus, dass sie die SSL-Zertifizierungsstelle wechseln und es im Zuge dessen zu Problemen mit dem Ausspielen der sogenannten Snort Rules kommt. Solche Regeln beinhalten unter anderem IPs und URLs von Server, die Trojaner verteilen. Damit ausgerüstet können Firewalls etwa Datenverkehr von Angreifern blockieren.

Admins sollten den Beitrag genau studieren und die Firepower-Versionen 6.x.x und 7.x.x aktualisieren. Geschieht dies nicht bis spätestens 5. März 2022 bekommen Geräte keine aktualisierten Snort Rules mehr. Für Nutzer von Firepower 7.1.x wird das besonders knapp, da die aktualisierte Ausgabe 7.1.0.1 erst für 1. März 2022 geplant ist.

Die Netzwerkbetriebssysteme NX-OS und FXOS sind verwundbar. Im schlimmsten Fall (CVE-2022-20650 "hoch") könnten entfernte Angreifer ohne Anmeldung Schadcode mit Root-Rechten auf Geräten ausführen. Das kommt einer vollständigen Kompromittierung gleich. Aufgrund einer unzureichenden Überprüfung müsste ein Angreifer dafür lediglich präparierte HTTP-POST-Anfragen an die NX-API schicken. Das NX-API-Feature ist standardmäßig nicht aktiv, sodass Geräte ab Werk nicht attackierbar sind.

Das erfolgreiche Ausnutzen von weiteren Schwachstellen (CVE-2022-20624 "hoch", CVE-2022-20625 "mittel") könnte zu DoS-Zuständen und daraus resultierenden Abstürzen führen. Hinweise zu dagegen abgesicherte Versionen findet man in den Warnmeldungen:

[UPDATE, 24.02.2022 10:30 Uhr]

NX-API ist standardmäßig nicht aktiv. Fließtext angepasst.

(des)