{"id":15724,"date":"2018-01-22T11:00:06","date_gmt":"2018-01-22T09:00:06","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=15724"},"modified":"2018-09-18T14:51:39","modified_gmt":"2018-09-18T12:51:39","slug":"sicherheitslucken-in-netzwerkgeraten-erkannt-bedeutet-nicht-gleich-harmlos","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/sicherheitslucken-in-netzwerkgeraten-erkannt-bedeutet-nicht-gleich-harmlos\/15724\/","title":{"rendered":"Sicherheitsl\u00fccken in Netzwerkger\u00e4ten: Erkannt bedeutet nicht gleich harmlos"},"content":{"rendered":"<p>Nachrichten \u00fcber Sicherheitsl\u00fccken gibt es fast jeden Tag. Sie werden im Internet wild diskutiert, Entwickler ver\u00f6ffentlichen Patches und danach scheinen sich alle wieder zu beruhigen. Das Problem ist gel\u00f6st und alles ist scheinbar wieder in Ordnung \u2026 Aber leider nur in der Theorie! Denn nicht alle Administratoren installieren Updates, insbesondere wenn es sich um Software f\u00fcr Netzwerkger\u00e4te handelt; denn hier erfordert das Aktualisieren f\u00fcr gew\u00f6hnlich viel Aufwand.<a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2018\/01\/19023019\/router-vulnerability-34c3.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-large wp-image-20748\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2018\/01\/19023019\/router-vulnerability-34c3-1024x672.jpg\" alt=\"\" width=\"1024\" height=\"672\"><\/a><\/p>\n<p>Einige Systemadministratoren glauben schlichtweg nicht daran, dass ihr Unternehmen zum Zielobjekt von Kriminellen werden k\u00f6nnte. Viele von ihnen scannen offizielle Sicherheitsberichte auf die magischen Worte \u201eKeine Anzeichen darauf, dass die Schwachstelle in freier Wildbahn ausgenutzt wird\u201c und lehnen sich zur\u00fcck, da sie davon ausgehen, dass es sich lediglich um eine theoretische Sicherheitsl\u00fccke handelt.<\/p>\n<p>Im vergangenen Jahr wurden mehrere schwerwiegende Sicherheitsl\u00fccken auf Ger\u00e4ten von Cisco gemeldet. In einem der Berichte \u2013 <em>SNMP Remote Code Execution Vulnerabilities in Cisco IOS and IOS XE operating systems<\/em> (ID der Schwachstelle: <a href=\"https:\/\/tools.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-20170629-snmp\" target=\"_blank\" rel=\"noopener nofollow\">cisco-sa-20170629-snmp<\/a>) \u2013 wurde erl\u00e4utert, wie ein Au\u00dfenstehender m\u00f6glicherweise die volle Kontrolle \u00fcber das gesamte System erlangen k\u00f6nnte. Man ben\u00f6tigt lediglich einen SNMP Read Only Community String (eine Art Benutzer-ID oder Passwort) f\u00fcr das entsprechende System. Das Problem ist seit Juli 2017 bekannt. Cisco nimmt Sicherheitsl\u00fccken sehr ernst und hat die Schwachstelle folglicherweise unverz\u00fcglich gestopft.<\/p>\n<p>Unser Kollege Artem Kondratenko, Experte f\u00fcr Pentests, f\u00fchrte einen externen Penetrationstest durch und machte einen Cisco-Router mit dem standardm\u00e4\u00dfigen SNMP Community String ausfindig. Er untersuchte, wie gef\u00e4hrlich die Schwachstelle tats\u00e4chlich sein k\u00f6nnte. Sein Ziel war es, sich \u00fcber den Router Zugang zum internen Netzwerk zu verschaffen. \u00dcbrigens wurde nicht nur Kondratenko bei seiner Suche f\u00fcndig: Auch Shodan verzeichnete 3313 Ger\u00e4te desselben Modells mit dem Standard-Community-String.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Sicherheitsl\u00fccken in Netzwerkger\u00e4ten: Erkannt bedeutet nicht gleich harmlos<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2F78gk&amp;text=Sicherheitsl%C3%BCcken+in+Netzwerkger%C3%A4ten%3A+Erkannt+bedeutet+nicht+gleich+harmlos\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Auf die technischen Details m\u00f6chten wir in diesem Beitrag nicht n\u00e4her eingehen. Wenn wir Ihr Interesse geweckt haben und Sie sich mit Kondratenkos Untersuchung vertraut machen m\u00f6chten, sollten Sie sich seinen Vortrag auf dem <a href=\"https:\/\/media.ccc.de\/v\/34c3-8936-1-day_exploit_development_for_cisco_ios\" target=\"_blank\" rel=\"noopener nofollow\">Chaos Communications Congress<\/a> anschauen. Wichtig ist hier das Endergebnis. Kondratenko demonstrierte, dass die beschriebene Sicherheitsl\u00fccke ausgenutzt werden kann, um Zugriff auf ein System mit der Privilegstufe 15 zu erhalten (das absolute Maximum f\u00fcr Ciscos IOS Shell). Auch wenn es (noch) keine Anzeichen f\u00fcr eine Ausnutzung der Schwachstelle in der Praxis gibt, sollten m\u00f6gliche Schwachstellen nicht ignoriert werden. Kondratenko brauchte lediglich vier Wochen (vom Zeitpunk der Entdeckung des anf\u00e4lligen Ger\u00e4ts) bis er ein Proof of Concept f\u00fcr die Nutzung von cisco-sa-20170629-snmp erstellt hatte.<\/p>\n<p>Um sicherzustellen, dass Ihr Router nicht eines der ersten Opfer einer solchen Sicherheitsl\u00fccke wird, sollten Sie Folgendes tun:<\/p>\n<ol>\n<li style=\"list-style-type: none\">\n<ol>\n<li>Vergewissern Sie sich, dass Ihre Netzwerk-Software immer auf dem neuesten Stand ist;<\/li>\n<li>Verwenden Sie keine Standard Community Strings f\u00fcr Router, die mit dem externen Netzwerk verbunden sind (am Besten, Sie vermeiden die Verwendung von Standard Community Strings);<\/li>\n<li>Halten Sie Ausschau nach EOL-Ank\u00fcndigungen f\u00fcr Ihre Netzwerkger\u00e4te \u2013 wenn Ger\u00e4te nicht mehr von ihren Herstellen unterst\u00fctzt werden, sieht es auch f\u00fcr m\u00f6gliche Updates schlecht aus.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Kann eine theoretische Sicherheitsl\u00fccke ausgenutzt werden?<\/p>\n","protected":false},"author":700,"featured_media":15725,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3108],"tags":[2844,2843,2857,685,1498],"class_list":{"0":"post-15724","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-34c3","10":"tag-ccc","11":"tag-chaos-communications-congress","12":"tag-exploits","13":"tag-schwachstellen"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sicherheitslucken-in-netzwerkgeraten-erkannt-bedeutet-nicht-gleich-harmlos\/15724\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/34c3\/","name":"34c3"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/15724","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=15724"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/15724\/revisions"}],"predecessor-version":[{"id":15731,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/15724\/revisions\/15731"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/15725"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=15724"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=15724"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=15724"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}