/ Security / Cisco schließt kritische Vault-7-Lücke in über 300 Produkten

Cisco schließt kritische Vault-7-Lücke in über 300 Produkten

Moritz Rosenfeld on May 11, 2017 - 6:13 am in Security

Der Netzwerkausrüster Cisco hat rund zwei Monate nach Bekanntwerden einer kritischen Lücke endlich Sicherheits-Updates für etliche Switches geliefert. Öffentlich bekannt wurde die Schwachstelle durch eine Wikileaks-Veröffentlichung aus CIA-Kreisen.

Der Netzwerkausrüster Cisco hat die durch die Wikileaks-Veröffentlichung “Vault 7” bekannt gewordene kritische Sicherheitslücke in seinen Switches geschlossen. Betroffen sind über 300 Produkte des Unternehmens. Die Lücke klafft im Cluster Management Protocol (CMP), welches die Switches nutzen, um in einem Cluster miteinander zu kommunizieren.

CMP nutzt Telnet-Verbindungen. Die verwundbaren Switches werten über Telnet eintreffende CMP-Pakete auch dann aus, wenn sie von außen kommen. Fatalerweise kommt es in einer der Funktionen, die mit den eingehenden Paketen in Kontakt kommen, zu einem ausnutzbaren Pufferüberlauf. Ein Angreifer kann letztlich Code auf dem Switch ausführen – und das ist höchst gefährlich, schließlich kann der Eindringling aus dieser komfortablen Position heraus beliebig schalten und walten. Wer Kontrolle über den Switch hat, kann zudem Schutzmaßnahmen wie VLAN-Konfigurationen umgehen, die der Switch durchsetzt.

Admins müssen handeln

Schützen konnte man sich bisher nur durch einen Workaround: Cisco hatte empfohlen, das Telnet-Protokoll für eingehende Verbindungen zu verbieten und bei Bedarf auf SSH zu setzen. Jetzt hat das Unternehmen Security-Updates nachgereicht, die das Problem an der Wurzel packen sollen. Die Liste der betroffenen Geräte hat 318 Einträge, darunter befinden sich vor allem die verbreiteten Catalyst-Switches des Unternehmens.

Verbindung zur CIA

Wer ein solches Gerät administriert, sollte sicherstellen, dass die fehlerbereinigte Software installiert ist. Es kursiert nämlich bereits ein Exploit, der es Angreifern leicht macht, die verwundbaren Switches zu kapern. Bekannt geworden war die Schwachstelle, nachdem Wikileaks im März ein Datenpaket der CIA ins Netz stellte, das aufzeigte, wie die US-Behörde vernetzte Geräte infiltriert.

Laut den geleakten Daten ist das CIA seit rund zwei Jahren mit der Schwachstelle beschäftigt. Ob die US-Behörde die Lücke tatsächlich ausgenutzt hat, ist nicht bekannt. Die CIA hat dem Sicherheitsproblem den Codenamen ROCEM verpasst, Cisco nennt sie CVE-2017-3881. (rei)

Read more on: Source

Comments are disabled