Schwachstelle in Ciscos WLAN-Technik ebnet Angreifern den Weg ins Firmennetz [Update]
Durch ein Sicherheitsproblem in Zusammenhang mit der Funktion Over-The-Air-Provisioning (OTAP) in Ciscos Unified Wireless Network Architecture können Angreifer die Kontrolle über Access Points übernehmen.
- Daniel Bachfeld
Der Hersteller von Sicherheitsprodukten für WLANs AirMagnet hat auf ein Sicherheitsproblem in Cisco Access Points (AP) in Zusammenhang mit der Funktion Over-The-Air-Provisioning (OTAP) in Ciscos Unified Wireless Network Architecture hingewiesen. In dieser Architektur bezieht ein sogenannter Lightweight Access Point (LAP) seine Konfiguration von einem zentralen Wireless LAN Controller (WLC). Durch Manipulationen soll ein Angreifer die Kontrolle über einen LAP übernehmen und sich so den Weg in ein Firmennetz ebnen können.
Mit OTAP können neu in ein Netz aufgenommene LAPs ihren Controller finden. Der Controller dient neben der Konfiguration auch der Überwachung der Funknetze und sammelt die Informationen, die ihm LAPs über das Lightweight Access Point Protocol (LWAPP) mitteilen. Beispielsweise schicken einzelne Access Points die von Nachbar-Access-Points empfangenen Radio Resource Management (RRM) Neighbor Packets an den Controller weiter. RRM-Pakete enthalten in unverschlüsselter Form unter anderem Informationen über Antennen, verwendete Kanäle, Leistung, die Kennung fürs WLAN und die IP-Adresse des Controllers.
Empfängt ein neu hinzugekommener LAP beim ersten Bootprozess ein manipuliertes RRM-Paket eines Angreifers mit einer falschen IP-Adresse, so verbindet er sich mit dem falschen Controller, um sich dort zu registrieren. Laut AirMagnet kann der Angreifer über diese SkyJack genannte Attacke den Access Point in seine Gewalt bringen. Weitere Einzelheiten, etwa ob ein Angreifer die Authentifizierung dafür aushebeln muss, schreibt AirMagnet in seiner Meldung nicht. Während der Registrierung gibt es nämlich eine Authentifizierung und die Aushandlung eines Schlüssel, um die Kommunikation zu schützen.
Cisco ist über das Problem informiert und soll an einer Lösung arbeiten. Ganz neu dürfte für den Hersteller das Problem aber nicht sein. Immerhin empfiehlt er selbst als Best Practice, nach der Inbetriebnahme auf allen LAPs OTAP zu deaktivieren – und ohne Aufsicht dürfte kein pflichtbewusster Admin einfach Geräte in Betrieb nehmen. Standardmäßig ist OTAP ohnehin deaktiviert.
[Update:] Cisco hat ein Advisory zu dem Problem veröffentlicht und bestätigt im Wesentlichen das Angriffsszenario. Als Abhilfe empfiehlt der Hersteller, in LAPs eine Liste bevorzugter Controller festzulegen und Locally Significant Certificates (LSC) zu verteilen. (dab)
