Comp4U Ladeanimation

Tausende Switches von Cisco über das Internet angreifbar

Über eine Plug&Play Funktion zur Fernkonfiguration sind über 200.000 Cisco Switches offen im Internet angreifbar. Trotz bereits bekannter Angriffe sieht der Hersteller keinen Handlungsbedarf.

Die sogenannte „Smart Install“ Funktion der betroffenen Cisco Switches bietet Administratoren die Möglichkeit, das Gerät aus der Ferne zu Konfigurieren oder gar die Firmware zu aktualisieren. Das Problem: Eine Authentifizierung über ein Passwort ist hierfür nicht notwendig. Ist die Smart-Install-Funktion des Switches also aus dem Internet erreichbar, was weltweit offenbar bei über 200.000 Geräten der Fall ist, kann jeder Angreifer ohne Weiteres auf dessen Konfiguration zugreifen. Laut der Suchmaschine Shodan sind allein in Deutschland 6400 Geräte betroffen.

Erste Angriffe sind bekannt

Ein von außen konfigurierbarer Switch bietet eine ideale Ausgangsbasis für Folgeangriffe auf das betroffene Netzwerk. Da das Problem ist schon seit über einem Jahr bekannt ist, gibt es bereits einige öffentlich verfügbare Tools, welche diese Schwachstelle ausnutzen. Ebenso ist bekannt, dass Angreifer diese schon in großem Stile einsetzen. So wurden erst vor kurzem mehrere hundert Konfigurationsdateien auf einem Server entdeckt, welche offensichtlich mit Hilfe dieses Tools abgegriffen wurden. Es ist nicht auszuschließen, dass diese Informationssammlung als Vorbereitung für einen Angriff dienen sollte.

Cisco sieht keinen Handlungsbedarf

Obwohl das Problem schon 2016 auf einer Sicherheitskonferenz in Moskau veröffentlicht wurde, sieht der Hersteller Cisco keinen Grund zum Handeln. Aus der Sicht von Cisco handelt es sich in diesem Fall um keine Schwachstelle ihrer Produkte, sondern um einen Fehler bei der Handhabung durch die Nutzer. Die Funktion Smart Install arbeitet wie gewollt, wer aber die Funktion aktiviert und gleichzeitig den Switch über das Internet erreichbar macht, handelt grob fahrlässig und ist nach Einschätzung von Cisco selbst verantwortlich.

Von Herstellerseite ist also kein Patch oder Update für dieses Problem zu erwarten. Immerhin bietet Cisco aber das Tool smi_check zum Download an, mit dessen Hilfe Administratoren Ihr Netz nach betroffenen Geräten absuchen können. Wenn man ein anfälliges Gerät besitzt sollte man die Smart-Install-Funktion entweder abschalten oder dafür sorgen, dass niemand unautorisiert darauf Zugriff bekommt. Konkrete Hilfe hierfür erhält man in dem vom Cisco Security-Team bereitgestellten Dokument Mitigating and Detecting Potential Abuse of Cisco Smart Install Feature.

Zwar sind bisher noch keine konkreten Schäden durch das Ausnutzen dieses Sicherheitsproblems bekannt geworden. Trotzdem ist jedem Besitzer eines Cisco Switches dringend zu raten, sich zu versichern, dass sein Gerät nicht anfällig ist.

---

Comp4U ist IT-Dienstleister und Sicherheitsexperte für alle Kunden in Frankfurt und dem Rhein-Main-Gebiet. Wir bieten unter anderem kompetente Beratung und Hilfe zu allen sicherheitsrelevanten Themen in Sachen EDV. Unsere sympathischen Mitarbeiter informieren Sie gerne - nutzen Sie unser Angebot und rufen Sie uns gleich an: 06103-9707-90.