Sicherheitstipps Cisco: Angreifer missbrauchen Smart-Install-Protokoll

Die US-Behörde Cybersecurity & Infrastructure Security Agency (CISA) warnt derzeit vor Attacken auf Cisco-Produkte und gibt wichtige Sicherheitstipps.

Einfallstor

Die Angreifer sollen unter anderem am Plug-and-Play-Dienst Smart Install zur Fernkonfiguration von Cisco-Switches ansetzen, schreibt die Behörde in einem aktuellen Beitrag. Der Dienst war schon öfter Einfallstor für Angreifer.

Die CISA verlinkt für Admins ein Dokument aus dem Jahr 2017 mit Sicherheitstipps. Darin empfehlen sie unter anderem, den Dienst auf allen Netzwerkgeräten des Herstellers zu deaktivieren. Der Dienst soll standardmäßig aktiv sein.

Bei Attacken greifen entfernte Angreifer ohne Authentifizierung etwa auf Konfigurationsdaten zu, um den Startvorgang zu manipulieren. Im Zuge dessen können sie eine mit Schadcode verseuchte Version der ISO-Systemsoftware auf dem Geräte installieren und es so vollständig kompromittieren. Klappt so eine Attacke, können sich Angreifer weiter im Netzwerk von Unternehmen ausbreiten.

Aus einem im April dieses Jahres veröffentlichten Beitrag geht hervor, dass Cisco den Dienst mittlerweile über ein Softwareupdate eingestellt hat. Offensichtlich sind aber noch viele Switches nicht auf dem aktuellen Stand und Smart Install ist nach wie vor aktiv.

Weitere Sicherheitstipps

Darüber hinaus verweist die CISA auf einen Katalog der National Security Agency (NSA) mit Tipps zur allgemeinen Absicherung von Netzwerken. Darin geht es unter anderem um das Aufspüren von Hintertüren und wie Admins Netzwerke in jeweils voneinander abgeschottete Bereiche einteilen.

Außerdem verlinken sie eine Sammlung mit wichtigen Hinweisen für den Einsatz sicherer Passwörter. Elementar ist in diesem Kontext beispielsweise, dass Kennwörter mit derzeit als sicher geltenden Funktionen wie PBKDF2 geschützt werden.

(des)