Feindliche Übernahme möglich
Hochkritische Sicherheitslücke in Cisco-Routern
Cisco warnt vor einer brandgefährlichen Lücke in IOS XE und Web-UI, über die Angreifer komplette Netzwerke hinter den betroffenen Routern und Switches kompromittieren können. Sicherheitsexperten zufolge wird die Schwachstelle bereits von Cyberkriminellen ausgenutzt.
Eine hochkritische Sicherheitslücke im Betriebssystem IOS XE und der webbasierten Konfigurationsoberfläche Web-UI von Cisco gefährdet aktuell weltweit tausende Firmen, die Router und Switches des Herstellers mit der Software benutzen. Angreifer können sich über die Schwachstelle vergleichsweise einfach Zugang zum Gerät und lokalen Netzwerk verschaffen und dort erheblichen Schaden anrichten, oder sogar komplett die Kontrolle übernehmen. Alles, was sie dafür benötigen, ist ein interner oder auch Web-Zugang, über den sie sich dann mittels HTTP-Anfragen ein Administratoren-Konto mit der Rechte-Ebene 15 erstellen können. Das erlaubt es ihnen unter anderem, die Konfiguration beliebig anzupassen und den Traffic umzuleiten und mitzuschneiden. Selbst verschlüsselte HTTPS-Server sind nicht vor den entsprechenden Angriffen gefeit. Dementsprechend ist die als CVE-2023-20198 registrierte Sicherheitslücke auch mit der höchsten Gefährdungsstufe 10 bewertet. Einen Patch gibt es bisher noch nicht.
Noch kritischer wird die Lage dadurch, dass sowohl Cisco selbst als auch mehrere Sicherheitsanbieter bereits Hinweise darauf entdeckt haben, dass die Schwachstelle schon seit mindestens einem Monat aktiv von Hackern ausgenutzt wird. Cisco rät den Nutzern von Routern mit IOS XE daher dringend, den Zugang auf die webbasierte Verwaltungsoberfläche zusätzlich durch eine Firewall zu schützen und sie soweit möglich sogar ganz zu deaktivieren. Daneben gilt es, nach Anzeichen für einen Angriff Ausschau zu halten. Laut den Experten von Cisco Talos sind typische Hinweise darauf etwa von den Eindringlingen neu angelegte Benutzerkonten. Weitere Details und Hilfestellungen werden in den Security-Bulletins zur Lücke ausführlich erörtert. Zudem weist Cisco darauf hin, dass Weboberflächen wie IOS XE grundsätzlich nie offen zum Internet sein sollten. Eigentlich eine Selbstverständlichkeit, aber doch alles andere die Normalität, wie Arstechnica belegen konnte. Schon bei einer kurzen Suche konnten die Kollegen im Web über 80.000 offene Zugänge zu von der Schwachstelle betroffenen Cisco-Geräten finden.
Selbst wenn in den nächsten Tagen ein Patch erscheinen sollte, müssen die Verantwortlichen wohl noch weiterhin wachsam bleiben. Denn es gibt Hinweise darauf, dass bei einigen der Angriffe noch eine zweite bislang unbekannte zero-Day-Lücke genutzt wurde, über die sich möglicherweise weitere Angriffsvektoren ergeben. Als möglicher Hinweis gilt hier in Lua geschriebener Schadcode in /usr/binos/conf/nginx-conf/cisco_service.conf. Dieser wird zwar durch einen Neustart entfernt, kann aber von den Angreifern offenbar genauso einfach wieder injiziert werden.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Produkttest Business-Router 2024
Belastbare Kontakte
Neuer Vice President B2B
Jens Walter leitet das deutsche B2B-Geschäft von TP-Link
Nachfolger von OliverTuszik
Cisco holt Microsoft-Manager als globalen Channel-Chef
