Cisco kämpft mit kritischer Telnet-Lücke im IOS-XE-Betriebssystem
Verschiedene Router des Netzwerkausrüsters Cisco sind angreifbar. Sicherheitspatches stehen noch aus.
Angreifer könnten einige Cisco-Router mit bestimmten Konfigurationen mit Schadcode attackieren. Da Sicherheitsupdates noch nicht verfügbar sind, müssen Admins Geräte über einen Workaround absichern. Das sollten sie auch tun, denn Cisco zufolge ist Exploit-Code im Umlauf. Attacken haben sie aber noch nicht beobachtet.
Konkret handelt es sich um eine als "kritisch" eingestufte Lücke (CVE-2020-10188) im Netzwerkprotokoll Telnet im Netzwerk-Betriebssystem IOS XE. Das treibt beispielsweise Router der ASR-1000-Serie an.
Remote Code Execution
Angriffe sollen aus der Ferne möglich sein. Ist eine Attacke erfolgreich, könnten Angreifer einer Warnmeldung von Cisco zufolge Schadcode auf Geräte ausführen. In so einem Fall gilt ein Gerät in der Regel als vollständig kompromittiert und Angreifer übernehmen die volle Kontrolle.
Router sind aber nur attackierbar, wenn die Funktion "Persistent Telnet" aktiv ist. In einer Warnmeldung beschreibt Cisco, wie Admins prüfen können, ob der Service aktiv ist. Dort zählen sie auch verschiedene Indicator of Compromises (IOC) auf. Das sind Hinweise, anhand derer Admins erfolgreich attackierte Geräte erkennen können. In diesem Fall ist beispielsweise eine hohe CPU-Last ein IOC.
Geräte gegen Lücke rüsten
Sicherheitspatches sind bislang nur angekündigt, aber noch nicht verfügbar. Wann das soweit ist, ist derzeit nicht bekannt. Bis dahin sollten Admins Geräte über einen Workaround absichern. Dafür müssen sie die Persistent-Telnet-Funktion deaktivieren.
Telnet ist generell ein unsicheres Protokoll und verschickt beispielsweise Passwörter unverschlüsselt. Aus Sicherheitsgründen sollte man besser die verschlüsselnden Ansätze SSH oder HTTPS nutzen. (des)
