Gravierende Sicherheitslücke in Cisco IOS XE gefährdet Tausende von Geräten
von Nico Pätzel
Cisco, ein weltweit führenden Anbieter für Netzwerklösungen, hat Einzelheiten zu einer äußerst kritischen Sicherheitslücke in seinem Betriebssystem Cisco IOS XE (CVE-2023-20198) bekannt gegeben. Diese Schwachstelle wird derzeit aktiv von Angreifern ausgenutzt und stellt eine ernsthafte Bedrohung für die IT-Sicherheit von Unternehmen weltweit dar.
Was genau ist geschehen?
Am 16. Oktober 2023 enthüllte Cisco Details über eine besorgniserregende Sicherheitslücke in Cisco IOS XE. Sie wird derzeit immer noch aktiv von Angreifern ausgenutzt. Erhält ein Remote-Angreifer Zugriff auf anfälliges System, kann er ohne Authentifizierung Benutzerkonten mit Zugriffsrechten der Stufe 15 erstellen. Dies ermöglicht es den Angreifern, die Kontrolle über das betroffene Gerät zu übernehmen und gezielte Man-in-the-Middle-Angriffe innerhalb des Netzwerks durchzuführen. Es beinhaltete die Bereitstellung eines Implantats, das aus einer Konfigurationsdatei ("cisco_service.conf") besteht, für die Interaktion mit dem Implantat verwendet wird und den neuen Webserver-Endpunkt (URI-Pfad) bestimmt.
Kurz: Ein Angreifer, der auf die Web-Benutzerschnittstelle eines Geräts mit IOS XE Zugriff bekommt und HTTP-Anfragen an diese Schnittstelle sendet, kann ohne vorherige Anmeldung in kürzester Zeit ein Admin-Benutzerkonto erstellen!
Anscheinend wurden so bereits seit mehreren Wochen Hintertüren auf Netzwerk-Geräten installiert. Das Tochterunternehmen Talos hat bereits Handlungsempfehlungen veröffentlicht, wie Cisco-Kunden ihre Geräte auf eine mögliche Kompromittierung hin zu überprüfen können. Dieser Beitrag wird fortlaufend aktualisiert.
Wer ist von der Schwachstelle in Cisco IOS XE Betroffen?
Die Auswirkungen dieser Schwachstelle sind weitreichend und betreffen alle Geräte, die das Cisco IOS XE-Betriebssystem verwenden und deren Web-UI aktiviert ist. Dazu gehören Geräte wie Switches, Router und WLAN-Controller.
Welche Gefahr geht von der Sicherheitslücke in Cisco IOS XE aus?
Bewertet wurde die Schwachstelle mit einem maximalen CVSS-Score von 10/10! Das Fehlen eines verfügbaren Patches verschärft die Situation erheblich. IT-Sicherheitsverantwortliche sind auf alternative Schutzmaßnahmen angewiesen sind. Da Patches bislang fehlen hat Cisco selbst Empfehlungen für Betroffene veröffentlicht.
Tausende Systeme sind bereits gefährdet
Bereits mehr als 10.000 Cisco IOS XE-Geräte von dieser Sicherheitslücke betroffen sind. Diese Erkenntnisse stammen aus einer Welle von Angriffen auf die betroffenen Geräte. Allein in Deutschland sind etwa 1.700 Geräte mit Cisco IOS XE über das Internet frei zugänglich und somit gefährdet.
Handlungsempfehlung
Wenn Sie in Ihrem Unternehmen IOS XE-Systeme einsetzen, empfehlen wir Ihnen dringend, Ihre Systeme auf mögliche Kompromittierungen zu überprüfen und die Systemprotokolle auf verdächtige Aktivitäten zu untersuchen. Administratoren, in deren Netzwerk sich Cisco-Geräte mit IOS XE befinden, sollten diese daher auf jeden Fall überprüfen und bis dahin als kompromittiert betrachten.
Was jetzt zu tun ist:
- Überprüfen Sie jedes Gerät mit dem Befehl curl -X POST auf eine mögliche Backdoor (http://IP/webui/logoutconfirm.html?logon_hash=1; der Platzhalter IP steht für die IP-Adresse des Gerätes). Werden infizierte Geräte entdeckt, sind diese sofort unter Quarantäne zu stellen mit einem Konfigurations-Backup neu zu installieren.
- Geräte, die keine Backdoor aufweisen, sollten über den SSH-Admin-Login auf unerklärliche Benutzerkonten mit Administratorrechten (Berechtigungslevel 15) oder verdächtige Einträge in den Logdateien untersucht werden.
Weitere Maßnahmen und Anleitungen zur Überprüfung der eigenen Systeme hat das BSI in einem PDF veröffentlicht.