Angriff auf Cisco-Switches

10 Apr 2018

Nehmen wir an, Ihre Internetverbindung wird plötzlich unterbrochen oder Sie können nicht mehr auf Ihre Lieblingswebsite zugreifen. Das passiert nicht ohne Grund; unseren Quellen zufolge gibt es momentan einen massiven Angriff auf Cisco-Switches, die in Rechenzentren auf der ganzen Welt verwendet werden.

Ein Bot sucht nach Cisco-Switches

Der Angriff scheint folgendermaßen abzulaufen: Ein unbekannter Bedrohungsakteur nutzt eine Schwachstelle in der Software Cisco Smart Install Client aus, mit der er beliebigen Code auf den anfälligen Switches ausführen kann. Die Übeltäter schreiben das Cisco-IOS-Image auf den Switches neu und ändern die Konfigurationsdatei, so dass dort die Nachricht „Do not mess with our elections“ erscheint. Der Switch ist danach nicht mehr verfügbar.

Scheinbar gibt es einen Bot, der über die IoT-Suchmaschine Shodan nach anfälligen Cisco-Switches sucht und die Sicherheitslücke ausnutzt; möglicherweise wird auch Ciscos Dienstprogramm selbst, das für die Suche nach anfälligen Switches entwickelt wurde, zu diesem Zweck genutzt. Sobald ein anfälliger Switch gefunden wird, wird der Smart Install Client ausgenutzt, die Konfiguration umgeschrieben und somit ein weiteres Web-Segment außer Gefecht gesetzt. Das führt dazu, dass einige Rechenzentren nicht verfügbar sind und daher nicht auf einige beliebte Websites zugegriffen werden kann.

Cisco Talos zufolge wurden auf Shodan mehr als 168.000 Geräte gefunden, die diese Sicherheitslücke aufweisen. Das Ausmaß des Angriffs muss noch bestimmt werden, könnte aber mit Auswirkungen auf ganze Internet-Anbieter und Rechenzentren maßgebend sein. Unseren Analysen zufolge zielen die Angreifer dabei vor allem auf die russische Internet-Infrastruktur ab, obwohl auch andere Segmente mehr oder weniger betroffen sind.

Sobald wir weitere Informationen haben, werden wir Sie in diesem Beitrag darüber unterrichten.

Das können Systemadministratoren tun

Anfangs sollte die Smart-Install-Funktion Systemadministratoren das Leben erleichtern. Es ermöglicht die Remote-Konfiguration und das OS-Image-Management auf Cisco-Switches. Mit anderen Worten können Geräte an einem beliebigen Standort bereitgestellt werden und vom HQ-Standort aus konfiguriert werden – das Ganze nennt sich Zero Touch Deployment. Um dies zu ermöglichen, sollte der Smart Install Client aktiviert und der TCP 4786-Port geöffnet sein (beide Optionen sind standardmäßig aktiviert).

Das Smart-Install-Protokoll erfordert standardmäßig keine Authentifizierung, deshalb steht die Frage im Raum, ob man hier von einer Schwachstelle reden kann. Cisco tut dies nicht und bezeichnet das Ganze als Missbrauch des Smart-Install-Protokolls. Tatsächlich ist es ein Problem der Rechenzentren, die den Zugriff auf den TCP 4786-Port nicht beschränken oder Smart Install deaktivieren können.

Um zu überprüfen, ob Smart Install funktioniert, können Sie den Befehl show vstack config auf Ihrem Switch ausführen. Wenn der Switch positiv reagiert, Smart Install also aktiviert ist, sollte es vorsichtshalber mit dem Befehl no vstack deaktiviert werden.

In einigen Versionen des Cisco-Betriebssystems funktioniert das jedoch nur bis zum Neustart des Switches (Switches der Cisco Catalyst 4500 und 4500-X-Serie mit 3.9.2E/15.2(5)E2 System; Switches der Cisco Catalyst 6500-Serie mit Systemversionen 15.1 (2) SY11, 15.2 (1) SY5 und 15.2 (2) SY3, Switches der Cisco Industrial Ethernet 4000-Serie mit 15.2(5)E2 and 15.2(5)E2a Systemen sowie Switches mit Ethernet-Zugriff der Serien Cisco ME 3400 und ME 3400E mit OS 12.2 (60) EZ11). In diesem Fall wird empfohlen, die Systemversion zu aktualisieren (oder vielleicht sogar herunterzustufen) oder den Befehl no vstack zu automatisieren. Um die Version des verwendeten Betriebssystems in Erfahrung zu bringen, können Sie den Befehl show version ausführen.

Sollten Ihre Geschäftsprozesse es nicht erlauben, Smart Install herunterzufahren, oder die Version Ihres Cisco-Betriebssystems den Befehl no vstack nicht unterstützt (was aufgrund eines Patches durchaus möglich sein könnte), sollten Sie die Verbindungen auf Port 4786 beschränken. Cisco empfiehlt dies via Interface Access Control Lists zu tun, so dass nur autorisierte Geräte über diesen Port eine Verbindung zu Ihren Switches herstellen können. Im folgenden Beispiel wird das Gerät auf der IP-Adresse 10.10.10.1 platziert.

Beispiel:

ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any

Weitere Details zum Missbrauch des Smart-Install-Protokolls finden Sie hier.