Exploit für Cisco IOS XE veröffentlicht, Infektionszahlen weiter hoch

Sicherheitsforscher haben den Exploit für Cisco IOS XE untersucht und seinen simplen Trick aufgedeckt. Hunderte Geräte mit Hintertür sind noch online.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen

(Bild: Michael Vi/Shutterstock.com)

Lesezeit: 3 Min.

Zwei Wochen nach Bekanntgabe der kritischen Lücke in IOS XE hat das Rätselraten ein Ende. Sicherheitsforscher haben Angriffsversuche mittels eines Honeypots abgefangen und analysiert. Dabei entdeckten sie, dass der Exploit lediglich auf einem uralten Encoding-Trick beruht. Derweil sind weiter Hunderte Geräte mit einer Backdoor infiziert; Patches sind allerdings seit Kurzem verfügbar.

Die Sicherheitsforscher der Firma Horizon3 haben in Zusammenarbeit mit dem "Secuinfra Falcon Team" Versuche aufgezeichnet, den kritischen Sicherheitsbug in Cisco IOS XE auszunutzen. Die Sicherheitslücke beruht auf einem Fehler in der Verarbeitungslogik des Webservers, der bestimmten URL-Pfade mit einem Zugriffsschutz versieht, schreiben die Experten in ihrer Analyse.

Die URL /webui_wsma_http – ein Endpunkt für die integrierte XML-API des Cisco-Betriebssystems – ist vor unauthentifiziertem Zugang geschützt. Dieser Schutz greift aber dank eines ebenso cleveren wie uralten Tricks nicht. Angreifer kodieren den Buchstaben "w" doppelt als URL-Parameter und umgehen so die Erkennung der Zeichenkette "webui_wsma_http". So wird aus der Zeichenkette "%2577ebui_wsma_http" zunächst "%77ebui_wsma_http", weil der Webserver die Zeichenkette "%25" zu "%" dekodiert. Im zweiten Schritt wird aus dem "%77" dann ein kleines "w" und der URL-Filter ist überlistet.

Veteranen der Web-Sicherheit erkennen diesen Trick aus den frühen 2000ern, als eine kritische Sicherheitslücke im damals populären Forensystem phpBB mit diesem "Double Encoding" ausgenutzt werden konnte. Kriminelle nutzten den Programmierfehler damals aus, um einen Wurm namens Santy.A zu schreiben, der vollautomatisch nach Opfern suchte.

Auch den Fehler in IOS XE können Angreifer systematisch für ihre Zwecke ausnutzen. In der XML-Anfrage schleusen die Kriminellen ein Kommando ein, das dem Netzwerkgerät aufträgt, einen neuen Systemnutzer mit der höchstmöglichen Privilegienstufe einzurichten – ab diesem Punkt können sie frei schalten und walten.

Nach wie vor sind viele Cisco-Geräte von den Backdoors der unbekannten Cybergangster betroffen. Von heise Security durchgeführte Analysen zeigen, dass im DACH-Raum noch immer mehrere Hundert Switches und Router eine unerwünschte Hintertür haben, die Infektionszahlen sind in den letzten Tagen konstant.

Das verwundert nicht, denn erst seit dem 30. Oktober sind fehlerbereinigte Versionen für fast alle derzeit gepflegten Versionen von Cisco IOS XE verfügbar. So beheben die Versionen 17.9.4a, 17.6.6a, 17.6.5a, 17.3.8a die kritische Lücke - lediglich Administratoren, die IOS XE 17.12.2 einsetzen, müssen sich noch bis zum 15. November gedulden.

(cku)