![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2018\/01\/19023019\/router-vulnerability-34c3.jpg\")
<\/a><\/p>\nEin Bot sucht nach Cisco-Switches<\/h3>\n
Der Angriff scheint folgenderma\u00dfen abzulaufen: Ein unbekannter Bedrohungsakteur nutzt eine Schwachstelle in der Software Cisco Smart Install Client aus, mit der er beliebigen Code auf den anf\u00e4lligen Switches ausf\u00fchren kann. Die \u00dcbelt\u00e4ter schreiben das Cisco-IOS-Image auf den Switches neu und \u00e4ndern die Konfigurationsdatei, so dass dort die Nachricht \u201eDo not mess with our elections\u201c erscheint. Der Switch ist danach nicht mehr verf\u00fcgbar.<\/p>\n
Scheinbar gibt es einen Bot, der \u00fcber die IoT-Suchmaschine Shodan<\/a> nach anf\u00e4lligen Cisco-Switches sucht und die Sicherheitsl\u00fccke ausnutzt; m\u00f6glicherweise wird auch Ciscos Dienstprogramm selbst, das f\u00fcr die Suche nach anf\u00e4lligen Switches entwickelt wurde, zu diesem Zweck genutzt. Sobald ein anf\u00e4lliger Switch gefunden wird, wird der Smart Install Client ausgenutzt, die Konfiguration umgeschrieben und somit ein weiteres Web-Segment au\u00dfer Gefecht gesetzt. Das f\u00fchrt dazu, dass einige Rechenzentren nicht verf\u00fcgbar sind und daher nicht auf einige beliebte Websites zugegriffen werden kann.<\/p>\n \u00dcbelt\u00e4ter nutzen eine Schwachstelle in #Cisco-Switches massiv aus und legen so gesamte Web-Segmente lahm.<\/p>Tweet<\/a><\/blockquote>\n Cisco Talos zufolge wurden auf Shodan mehr als 168.000 Ger\u00e4te gefunden, die diese Sicherheitsl\u00fccke aufweisen<\/a>. Das Ausma\u00df des Angriffs muss noch bestimmt werden, k\u00f6nnte aber mit Auswirkungen auf ganze Internet-Anbieter und Rechenzentren ma\u00dfgebend sein. Unseren Analysen zufolge zielen die Angreifer dabei vor allem auf die russische Internet-Infrastruktur ab, obwohl auch andere Segmente mehr oder weniger betroffen sind.<\/p>\n Sobald wir weitere Informationen haben, werden wir Sie in diesem Beitrag dar\u00fcber unterrichten.<\/p>\n Anfangs sollte die Smart-Install-Funktion Systemadministratoren das Leben erleichtern. Es erm\u00f6glicht die Remote-Konfiguration und das OS-Image-Management auf Cisco-Switches. Mit anderen Worten k\u00f6nnen Ger\u00e4te an einem beliebigen Standort bereitgestellt werden und vom HQ-Standort aus konfiguriert werden \u2013 das Ganze nennt sich Zero Touch Deployment. Um dies zu erm\u00f6glichen, sollte der Smart Install Client aktiviert und der TCP 4786-Port ge\u00f6ffnet sein (beide Optionen sind standardm\u00e4\u00dfig aktiviert).<\/p>\n Das Smart-Install-Protokoll erfordert standardm\u00e4\u00dfig keine Authentifizierung, deshalb steht die Frage im Raum, ob man hier von einer Schwachstelle reden kann. Cisco tut dies nicht und bezeichnet das Ganze als Missbrauch des Smart-Install-Protokolls<\/a>. Tats\u00e4chlich ist es ein Problem der Rechenzentren, die den Zugriff auf den TCP 4786-Port nicht beschr\u00e4nken oder Smart Install deaktivieren k\u00f6nnen.<\/p>\n Um zu \u00fcberpr\u00fcfen, ob Smart Install funktioniert, k\u00f6nnen Sie den Befehl show vstack config<\/strong>\u00a0auf Ihrem Switch ausf\u00fchren. Wenn der Switch positiv reagiert, Smart Install also aktiviert ist, sollte es vorsichtshalber mit dem Befehl no vstack<\/strong> deaktiviert werden.<\/p>\n In einigen Versionen des Cisco-Betriebssystems funktioniert das jedoch nur bis zum Neustart des Switches (Switches der Cisco Catalyst 4500 und 4500-X-Serie mit 3.9.2E\/15.2(5)E2 System; Switches der Cisco Catalyst 6500-Serie mit Systemversionen 15.1 (2) SY11, 15.2 (1) SY5 und 15.2 (2) SY3, Switches der Cisco Industrial Ethernet 4000-Serie mit 15.2(5)E2 and 15.2(5)E2a Systemen sowie Switches mit Ethernet-Zugriff der Serien Cisco ME 3400 und ME 3400E mit OS 12.2 (60) EZ11). In diesem Fall wird empfohlen, die Systemversion zu aktualisieren (oder vielleicht sogar herunterzustufen) oder den Befehl no vstack<\/strong> zu automatisieren. Um die Version des verwendeten Betriebssystems in Erfahrung zu bringen, k\u00f6nnen Sie den Befehl show version<\/strong> ausf\u00fchren.<\/p>\n Sollten Ihre Gesch\u00e4ftsprozesse es nicht erlauben, Smart Install herunterzufahren, oder die Version Ihres Cisco-Betriebssystems den Befehl no vstack<\/strong> nicht unterst\u00fctzt (was aufgrund eines Patches durchaus m\u00f6glich sein k\u00f6nnte), sollten Sie die Verbindungen auf Port 4786 beschr\u00e4nken. Cisco empfiehlt dies via Interface Access Control Lists zu tun, so dass nur autorisierte Ger\u00e4te \u00fcber diesen Port eine Verbindung zu Ihren Switches herstellen k\u00f6nnen. Im folgenden Beispiel wird das Ger\u00e4t auf der IP-Adresse 10.10.10.1 platziert.<\/p>\n Beispiel:<\/p>\n<\/a><\/p>\nDas k\u00f6nnen Systemadministratoren tun<\/h3>\n