Warnung vor Smart Install-Sicherheitslücke in Cisco-Switches

Die Funktion Smart Install in Cisco-Switches birgt das Risiko, dass die Geräte per Internet umkonfiguriert oder übernommen werden können. Das Problem ist Cisco seit längerem bekannt.


Anzeige

Worum geht es?

In Cisco-Switches gibt es den Smart Install Plug&Play-Dienst zur Fernkonfiguration. Gedacht ist der Dienst, um die Konfiguration der Switches abzufragen, die Konfiguration zu verändern oder auch Firmware zu aktualisieren. Allerdings sieht dieser Smart Install-Dienst keine Authentifizierung für den Zugriff vor. Das heißt, jeder, der auf den Switch zugreifen kann, kann diesen Dienst nutzen.

Zum Problem wird dies, wenn die Geräte per Internet erreichbar sind, oder jemand Unbefugtes Zugriff auf das Netzwerk, in dem die Switche betrieben werden, erhält. Cisco ist das Problem seit spätestens Anfang 2017 bekannt, denn es gibt den Blog-Beitrag Cisco Smart Install Protocol Misuse vom 14. Februar 2017, der nochmals am 30. Oktober 2017 aktualisiert wurde. In diesem Dokument werden auch Hinweise gegeben, wie sich die Smart Install-Funktion in den Switches deaktivieren lässt.

Achtung: Ich kann es aktuell nicht verifizieren – laut diesem Kommentar sollen einige Geräte nach einem Reboot den Smart Install-Dienst wieder aktivieren.

Cisco sieht daher kein Sicherheitsproblem in den Switches. Ein weiteres Dokument von Cisco befasst sich ebenfalls mit dem Thema. Dieser PC World-Beitrag befasst sich mit einem Python-Tool, mit dem angreifbare Switches identifiziert werden können.

Hundertausende Cisco-Switches per Internet erreichbar

In diesem Artikel schreibt heise.de, dass 200.000 Cisco Switches per Internet erreichbar seien, wovon allein 6.400 Geräte in Deutschland mittels der Suchmaschine Shodan gefunden werden. Laut heise.de gibt es öffentlich verfügbare Tools, um solche Switches unter Kontrolle zu bringen. Offenbar versuchen Angreifer dies in großem Stil auszunutzen.

Im heise.de-Artikel wird angegeben, dass auf einem Server hunderte Konfigurations-Dateien für Cisco-Switches gefunden wurden. Nachdem CERT-Bund des BSI über diesen Fund informiert wurde, verschickte diese Institution eine IT-Sicherheitswarnung an die Warn- und Alarmierungskontakte in Bund und Ländern, sowie an die Betreiber kritischer Infrastrukturen und an die Mitglieder der Allianz für Cybersicherheit. Auch die jeweils zuständigen Netzbetreiber wurden über die in ihren Netzen möglicherweise angreifbaren IP-Adressen informiert.

Administratoren, die Cisco-Switches im Einsatz haben, sollten diese auf die angesprochenen Sicherheitslücken überprüfen und reagieren.

Ähnliche Artikel:
Sicherheitslücke in Cisco Nexus 7000/7700 Switches
Cisco veröffentlicht kritische Sicherheitsupdates für IOS


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.