Cisco: Schwere Sicherheitslücke in IOS XE ermöglicht Netzwerk-Übernahme
Geräte mit IOS XE und Web-UI können von Angreifern ohne Weiteres aus der Ferne übernommen werden. Cisco hat keine Patches, aber Empfehlungen für Betroffene.
Erste Hinweise auf einen Angriff auf die Starwood-Datenbank kamen Anfang September von einem internen Sicherheitssystem.
(Bild: dpa, Julian Stratenschulte/Symbol)
Cisco hat einen dringenden Sicherheitshinweis für Switches und Router mit dem Betriebssystem IOS XE veröffentlicht. Durch eine Lücke in der Weboberfläche können Angreifer ohne vorherige Anmeldung einen Admin-Nutzer erstellen und somit die Kontrolle über das Gerät übernehmen. Die Sicherheitslücke wird bereits aktiv von Angreifern ausgenutzt, Netzwerkadmins sollten schnell handeln.
Admin-User frei Haus
Das linuxbasierte IOS XE wird von Cisco auf Routern und Switches eingesetzt und verfügt über eine webbasierte Konfigurationsoberfläche. Ist diese aktiviert, können Angreifer ohne weitere Vorbedingungen die komplette Kontrolle über das Gerät übernehmen. Die Sicherheitslücke mit der Bezeichnung CVE-2023-20198 erhält daher auch den höchstmöglichen CVSS-Wert von 10.0 und ist somit kritisch. Da Cisco keine betroffenen Betriebssystem-Versionsnummern nennt, dürfte aktuell jedes IOS-XE-Gerät von der Lücke betroffen sein.
Ein Angreifer, der das Web-UI eines Geräts mit IOS XE – etwa über das Internet oder ein internes Netzwerk – erreichen und HTTP-Anfragen dort platzieren kann, kann ohne vorherige Anmeldung ein Admin-Nutzerkonto mit der Rechte-Ebene 15 erstellen. Wer diese Privilegien innehat, kann Geräte rebooten und beliebige Konfigurationsänderungen vornehmen. Somit können Eindringlinge Netzwerkunterbrechungen provozieren, Routen umleiten oder den kompletten Netzwerkverkehr mitschnüffeln und ausleiten – ein Sicherheits-GAU.
Angriffe finden bereits seit September statt
Die US-IT-Sicherheitsbehörde CISA warnt, dass die Lücke bereits aktiv ausgenutzt wird und Angriffe derzeit stattfinden. Administratoren, die für IOS-XE-Geräte verantwortlich sind, sollten also schnellstens reagieren. Da zur Stunde noch keine Patches verfügbar sind, hat Cisco einige Hinweise für Betroffene veröffentlicht. So sollen Admins genau prüfen, ob die webbasierte Administrationsoberfläche notwendig ist und diese möglichst deaktivieren. Wer kann, soll zudem den Zugriff auf die Weboberfläche per Firewall einschränken.
Hinweise zur Einbruchserkennung für Admins
Mittlerweile hat die Cisco-Tochter Talos einen ausführlichen Artikel zur Sicherheitslücke und ihren Auswirkungen veröffentlicht. So hatte ein Angreifer bereits am 18. September erfolgreich ein IOS-XE-Gerät übernommen, im Oktober begannen Eindringlinge dann zusätzlich, eine in Lua geschriebene Backdoor unter dem Pfad /usr/binos/conf/nginx-conf/cisco_service.conf zu installieren. Diese tarnt sich als Konfigurationsdatei und überlebt - anders als der illegitim angelegte Nutzer - einen Reboot nicht.
Admins können mehrere Indizien abprüfen, um Angriffe zu erkennen. So hat Talos Snort-Regeln zur Einbruchserkennung entwickelt und rät Netzwerkverwaltern, Zugriffe von den IP-Adressen 5.149.249.74 und 154.53.56.231 als Indikatoren für erfolgreiche Angriffe (IOC - Indicator of Compromise) zu betrachten. Wer Benutzerkonten mit den Namen cisco_tac_admin oder cisco_support vorfindet, sollte sein Gerät ebenfalls als kompromittiert betrachten.
Log-Einträge können ebenfalls auf Eindringlinge hinweisen, wenn sie folgendermaßen lauten:
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename
Cisco kommt derzeit nicht zur Ruhe: Bereits vor wenigen Wochen waren Sicherheitslücken in IOS XE aufgetaucht; Netzwerkadministratoren dürften angesichts der bevorstehenden Überstunden wenig amüsiert sein.
(cku)
