Kritische Sicherheitslücke in Cisco Smart Install betrifft Netzwerkgeräte

Cisco hat eine kritische Sicherheitslücke in der Smart Install-Funktion seiner IOS und IOS XE Software identifiziert. Die Schwachstelle mit der Kennung CVE-2018-0171 hat einen hohen CVSS-Basisscore von 9.8. Cisco weist darauf hin, dass diese Schwachstelle weiterhin aktiv ausgenutzt wird und rät dringend dazu, Systeme zu überprüfen und so schnell wie möglich auf eine korrigierte Softwareversion zu aktualisieren.

Angriffsarten und Auswirkungen

Die Sicherheitslücke entsteht, weil eine unsachgemäße Überprüfung von Paketdaten erfolgt. Angreifer können die Schwachstelle ausnutzen, indem sie speziell präparierte Smart Install-Nachrichten an ein betroffenes Gerät auf TCP-Port 4786 senden. Ein erfolgreicher Angriff kann einen Pufferüberlauf auf dem Gerät verursachen, was zu verschiedenen schwerwiegenden Konsequenzen führen kann:

• Ein Neustart des Geräts wird ausgelöst, was einen Denial-of-Service-Zustand (DoS) zur Folge hat.
• Die Ausführung von beliebigem Code auf dem Gerät wird ermöglicht.
• Eine unendliche Schleife auf dem Gerät wird verursacht, die einen Watchdog-Absturz auslöst.
• Es können Konfigurationsdaten gestohlen und ein dauerhafter Zugriff auf die Geräte eingerichtet werden.
• Nach dem Initialzugriff können Angreifer über den Smart Install Exploit einen Befehl ausführen, der die laufende Konfiguration ändert und den lokalen TFTP-Server aktiviert, um dann die Startkonfiguration abzurufen. Die extrahierten Konfigurationen können Zugangsdaten oder SNMP-Community-Strings enthalten, die für weiteren direkten Zugriff genutzt werden.
• Angreifer können auch über SNMP initialen Zugriff erhalten und diesen Dienst nutzen, um Befehle zur Modifizierung der Konfiguration zu senden, wodurch neue lokale Benutzerkonten erstellt oder Fernzugriffsdienste wie TELNET aktiviert werden können.
• Fortgeschrittene Angreifer verwenden möglicherweise auch Firmware-Implantate wie SYNful Knock, um dauerhaften und verdeckten Zugriff über Neustarts hinweg zu sichern.
• Weitere Methoden umfassen die Modifizierung der TACACS+-Konfiguration zur Behinderung von Remote-Protokollierungen und die Anpassung von Access Control Lists (ACLs), um Zugriff von Angreifer-IP-Adressen zu erlauben.
• Zur Datensammlung können Angreifer Generic Routing Encapsulation (GRE)-Tunnel einrichten, um Netzwerkverkehr umzuleiten und NetFlow-Daten zu erfassen.
• Die Exfiltration von Konfigurationsinformationen erfolgt über TFTP, FTP oder SNMP.

Angreifer

Eine bedeutende Bedrohung, die diese Schwachstelle aktiv ausnutzt, ist die russische staatlich geförderte Cyber-Spionagegruppe „Static Tundra". Diese Gruppe wird mit der Einheit Center 16 des FSB in Verbindung gebracht und ist seit über einem Jahrzehnt aktiv. Sie ist darauf spezialisiert, Netzwerkgeräte für langfristige Informationsbeschaffungsoperationen zu kompromittieren. Static Tundra gilt als sehr versiert und nutzt fortschrittliche Methoden, um unentdeckt zu bleiben. Die Gruppe zielt vorrangig auf ungepatchte und End-of-Life-Netzwerkgeräte ab, um Konfigurationsdaten zu stehlen und sich dauerhaften Zugang zu verschaffen. Cisco beobachtet diese Kompromittierungen seit 2015. Die Hauptziele von Static Tundra sind Organisationen in den Bereichen Telekommunikation, Hochschulbildung und Fertigungsindustrie in Nordamerika, Asien, Afrika und Europa, die aufgrund ihres strategischen Interesses für die russische Regierung ausgewählt werden. Es gibt auch Hinweise darauf, dass andere staatlich geförderte Akteure ähnliche Kampagnen durchführen, da der Zugriff auf diese Geräte von vielen als wertvoll angesehen wird.

Betroffene Geräte

Von der Sicherheitslücke sind Cisco-Geräte betroffen, auf denen eine anfällige Version der Cisco IOS oder IOS XE Software läuft und auf denen die Smart Install Client-Funktion aktiviert ist.

• Nur Smart Install Client-Switches sind anfällig; Geräte, die als Smart Install Director konfiguriert sind, sind nicht betroffen.
• Die Smart Install Client-Funktion ist standardmäßig auf vielen Switches aktiviert, besonders wenn diese Cisco IOS Software-Releases verwenden, die nicht auf Cisco Bug ID CSCvd36820 aktualisiert wurden.
• Switches, die Releases vor Cisco IOS Software Release 12.2(52)SE ausführen, können Smart Install nicht direkt betreiben, können aber Smart Install Clients sein, wenn sie den Befehl archive download-sw unterstützen.
• Zur Überprüfung, ob die Smart Install Client-Funktion aktiviert ist, kann der Befehl show vstack config verwendet werden. Eine Ausgabe, die „Role: Client" und „Oper Mode: Enabled" oder „Role: Client (SmartInstall enabled)" zeigt, bestätigt die Aktivierung.
• Die aktuell laufende Cisco IOS oder IOS XE Software-Version lässt sich mit dem Befehl show version in der Kommandozeile (CLI) ermitteln.
• Cisco IOS XR Software und Cisco NX-OS Software sind von dieser Schwachstelle nicht betroffen.
• Besonders gefährdet sind ungepatchte Netzwerkgeräte und solche, die bereits das „End-of-Life" (EOL) erreichte haben.

Was man dagegen tun kann

Cisco hat kostenlose Software-Updates zur Behebung der Schwachstelle veröffentlicht. Die Installation dieser Updates ist die wichtigste und eine dringend empfohlene Maßnahme. Für Kunden, die die Cisco Smart Install-Funktion nicht benötigen, kann diese mit dem Befehl no vstack deaktiviert werden. In einigen Software-Releases, die mit Cisco Bug ID CSCvd36820 verknüpft sind, deaktiviert sich Smart Install automatisch, wenn es nicht in Gebrauch ist. Es gibt keine Workarounds, welche die Schwachstelle adressieren, wenn die Nutzung von Cisco Smart Install für Kunden erforderlich ist. Kunden ohne Serviceverträge können Software-Upgrades über das Cisco Technical Assistance Center (TAC) erhalten. Der Cisco IOS Software Checker kann dabei helfen, die Betroffenheit durch Sicherheitslücken zu bestimmen und die frühesten korrigierten Releases zu finden.

Zusätzlich zu den Software-Updates und der Deaktivierung der Smart Install-Funktion sollten Organisationen folgende präventive Maßnahmen ergreifen:

• Ein umfassendes Konfigurationsmanagement und regelmäßige Audits durchführen.
• Die Authentifizierung, Autorisierung und Befehlsausführung umfassend überwachen.
• Syslog- und AAA-Protokolle auf ungewöhnliche Aktivitäten überwachen.
• Netzwerkgeräte auf Änderungen in der Oberfläche prüfen, zum Beispiel auf neue Ports oder geänderten Datenverkehr.
• NetFlow-Sichtbarkeit entwickeln, um ungewöhnliche Volumenänderungen zu erkennen.
• Cisco Hardening Guides zur Konfiguration der Geräte nutzen.
• Telnet deaktivieren und SSH für alle Virtual Teletype (VTY) -Leitungen verwenden.
• Type 8 Passwörter für lokale Konten und Type 6 für TACACS+-Schlüssel nutzen.
• Geräte so aggressiv wie möglich aktualisieren, inklusive End-of-Life-Hardware und Software.
• Komplexe Passwörter und Community-Strings wählen und Standard-Zugangsdaten vermeiden.
• Multi-Faktor-Authentifizierung (MFA) einsetzen.
• Jeglichen Überwachungs- und Konfigurationsverkehr verschlüsseln (z.B. SNMPv3, HTTPS, SSH).
• Administrative Schnittstellen schützen und überwachen.
• Alle unverschlüsselten Web-Management-Funktionen deaktivieren.
• Die Existenz und Korrektheit von Access Control Lists (ACLs) für alle Managementprotokolle überprüfen.
• Konfigurationen zentral speichern und auf die Geräte übertragen, anstatt den Geräten als primäre Quelle für ihre Konfigurationen zu vertrauen.