/Tausende Cisco-Switches offen im Internet – Angriffe laufen bereits

Tausende Cisco-Switches offen im Internet – Angriffe laufen bereits

Alert!

Tausende Cisco-Switches offen im Internet – Angriffe laufen bereits


Jürgen Schmidt

(Bild: Cisco)

Über 200.000 Cisco Switches sind übers Internet erreichbar und lassen sich umkonfigurieren oder komplett übernehmen; mehrere tausend davon allein in Deutschland. Die Systeme werden bereits angegriffen, doch der Hersteller sieht keine Schwachstelle.

Cisco bietet für seine Switches einen Plug&Play-Dienst zur Fernkonfiguration namens Smart Install. Über diesen lässt sich die aktuelle Konfiguration auslesen, das Gerät konfigurieren oder auch gleich mit neuer Firmware versorgen. Dazu ist kein Passwort erforderlich; Authentifizierung sieht Smart Install nämlich gar nicht vor. Das ist extrem gefährlich, wenn die Smart-Install-Funktion solcher Switches direkt aus dem Internet erreichbar ist. Und genau das ist offenbar bei weltweit über 200.000 Cisco-Switches der Fall.

Die sind dann direkt aus dem Internet konfigurierbar und somit eine ideale Ausgangsbasis für weitere Angriffe im Firmennetz. Das betrifft gemäß der Suchmaschine Shodan allein 6400 Geräte in Deutschland; einige davon sogar bei Betreibern kritischer Infrastruktur. Prinzipiell anfällig sind alle Geräte, die sich über Smart Install einrichten lassen, also vor allem Cisco Switches der Catalyst-Serie, aber auch einige Integrated Service Router. Das Problem ist eigentlich seit fast einem Jahr bekannt, es gibt öffentlich verfügbare Tools, die es ausnutzen, um die Kontrolle über solche Switches zu erlangen. Das setzen Angreifer auch bereits in großem Stil ein.

Smart Install aktiv ausgenutzt

So entdeckten heisec-Leser, die lieber anonym bleiben möchten, vor einigen Tagen auf einem Server mehrere hundert Konfigurations-Dateien für Cisco-Switches, die offenbar mit einem dieser öffentlichen Exploit-Tools abgezogen wurden. Was die Sammler damit vorhatten, ist nicht bekannt – typisch ist solche Informationsbeschaffung etwa bei der Vorbereitung von Angriffen. Die Finder informierten das CERT-Bund des BSI über die gestohlenen Config-Dateien und übergaben diesem eine selbst erstellte Liste mit IP-Adressen möglicherweise anfälliger Geräte in Deutschland.

Das CERT-Bund reagierte prompt und verschickte umgehend eine IT-Sicherheitswarnung an seine Warn- und Alarmierungskontakte in Bund und Ländern, an Betreiber von Kritischen Infrastrukturen sowie an die Mitglieder der Allianz für Cybersicherheit. Darüber hinaus informierte CERT-Bund die jeweils zuständigen Netzbetreiber über die in ihren Netzen möglicherweise angreifbaren IP-Adressen.

Kein Patch von Cisco – jetzt checken

Präsentiert wurde das Problem mit dem ungewollten Smart Install auf Cisco-Geräten bereits 2016 auf einer Sicherheitskonferenz in Moskau; im Februar hat Cisco seine Sicht der Smart-Install-Problematik dargelegt. Demnach handelt es sich nicht um eine Schwachstelle in ihren Produkten, sondern um einen Fehler bei deren Handhabung. Smart Install arbeite genau so wie es soll; wer es aus dem Internet erreichbar macht, handelt grob fahrlässig. Patches oder Sicherheits-Updates, die dieses Problem entschärfen, schließt Cisco kategorisch aus. Administratoren sollten stattdessen ihre Hausaufgaben machen, ist der durchgängige Tenor.

Diese Einschätzung ist nachvollziehbar, aber angesichts hunderttausender, einfach anzugreifender Systeme nicht wirklich zielführend. Immerhin bietet Cisco einen eigenen Scanner namens smi_check an, mit dem Admins nach anfälligen Geräten in ihrem Netz suchen können. Behelfsweise genügt auch ein schneller Port-Scan auf den TCP-Port 4786 im lokalen Netz etwa mit

nmap -sS -p 4786 10.0.0.0/8 

um potentielle Problemfälle aufzuspüren. Wer Geräte mit aktivem Smart-Install gefunden hat, sollte diese Funktion entweder abschalten (no vstack) oder dafür sorgen, dass sie nur für autorisierte Mitarbeiter erreichbar ist. Konkrete Hilfestellung gibt Ciscos Security-Team in einem eigenen Dokument namens Mitigating and Detecting Potential Abuse of Cisco Smart Install Feature.

Noch ist nichts wirklich dramatisches passiert – zumindest nichts, was bekannt geworden wäre. Doch das kann sich sehr schnell ändern. Wer also Cisco-Switches im Einsatz hat, sollte sich möglichst jetzt versichern, dass seine Geräte nicht anfällig sind. Angesichts der Ausmaße ist es auch durchaus eine gute Idee, seine Admins oder andere möglicherweise Betroffene auf das Smart-Install-Problem hinzuweisen.


(ju)