Cisco: Backdoor in Nexus 9000er-Netzwerkgeräten gefunden

Sicherheitsforscher haben mal wieder eine Hintertür in Netzwerken gefunden, die sich hervorragend zum Ausspionieren von Firmen eignet. Man sollte die Chinesen aussperren, verbannen, fertig, so tönt es meist aus Amiland. Stopp: Dieses Mal war es Cisco. Ach ja, und bei Citrix gingen irgendwelche Hacker 5 Monate ein und aus, ohne das jemand etwas bemerkt hat.


Anzeige

Zum 1. Mai hatte ich im Beitrag Verwirrung um von Vodafone entdeckte Huawei 'Backdoor' über eine vermeintlich entdeckte Backdoor in Huawei Hardware berichtet. Es ging um einen offenen Telnet-Zugang, wobei der Vorgang viele Jahre zurück lag. Was aber schön war: In den Kommentaren ging es dann heiß um die Sache 'wem vertrauen wir weniger, den Amis mit Cisco – oder den Chinesen mit Huawei'. Gleich vorweg: Keinem kannst Du trauen.

Citrix über viele Monate gehackt, keiner merkt etwas

Zuerst ein kleiner Schlenker. Im März 2019 hatte ich im Blog-Beitrag Hacks und Leaks der Woche berichtet, dass das Citrix-Netzwerk gehackt wurde. Gemerkt hat es das FBI, welches den Citrix-Leuten Bescheid gab. Ich schrieb damals:

Da Citrix Anbieter von diverser Software ist, stellte sich natürlich sofort die Frage: Ist dort Firmware und Software modifiziert worden. So könnten Backdoors in Produkte implementiert werden, die dann den Zugriff auf andere Firmennetzwerke ermöglichen.

Nun lese ich bei Heise, dass Hacker fünf Monate lang ungestört Daten über das Citrix-Netzwerk abgreifen. Wäre noch so weiter gegangen, wenn nicht das FBI auf die Attacke aufmerksam geworden wäre. Wirft schon Fragen auf.

Anmerkung: In der ersten Fassung des Beitrags hatte ich im obigen Abschnitt Cisco statt Citrix angegeben. Danke an die Kommentatoren, die darauf hingewiesen haben.

Backdoor in Cisco-Netzwerkkomponenten

Nun berichtet The Register über eine in Cisco-Netzwerkkomponenten gefundene Backdoor, die gerade erst geschlossen wurde. Der US-Tech-Riese Cisco hat einen kostenlosen Fix für eine Schwachstelle veröffentlicht, die Maschinen der Nexus 9000er Serie betrifft. Die Schwachstelle in der Firmware kann ausgenutzt werden, um sich als Root anzumelden und das Gerät zur Überwachung zu missbrauchen. Ein Angreifer muss nur in der Lage sein, die gefährdete Box über IPv6 zu erreichen. Es liegt an einem Standard-SSH-Schlüsselpaar, das in der Software fest programmiert ist, wie Cisco erklärte.

A vulnerability in the SSH key management for the Cisco Nexus 9000 Series Application Centric Infrastructure (ACI) Mode Switch Software could allow an unauthenticated, remote attacker to connect to the affected system with the privileges of the root user.

The vulnerability is due to the presence of a default SSH key pair that is present in all devices. An attacker could exploit this vulnerability by opening an SSH connection via IPv6 to a targeted device using the extracted key materials. An exploit could allow the attacker to access the system with the privileges of the root user.

Im Cisco-Sicherheitscenter gibt es mit Datum 2. Mai 2019 eine lange Liste an Fixes für Cisco-Produkte. Dort ist auch das Update für die Nexus 9000er Serie aufgeführt. Heise widmet sich in diesem Artikel den geschlossenen Sicherheitslücken.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Cisco: Backdoor in Nexus 9000er-Netzwerkgeräten gefunden

  1. Ben sagt:

    Moin Günter,

    kann es sein, dass Du in dem einen Absatz Cisco und Citrix miteinander verwechselst?

    VG
    Ben

  2. Michael Trautes sagt:

    Hallo,

    bei Heise steht – das Citrix über 5 Monate die Daten verloren hat – nicht Cisco.

    https://www.heise.de/newsticker/meldung/Citrix-Hacker-im-internen-Netzwerk-fuenf-Monate-lang-nicht-entdeckt-4411516.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.