Wikileaks: Cisco warnt vor Telnet-Lücke

Cisco (Grafik: Cisco)

Die Wikileaks-Veröffentlichungen zu “Vault 7” zeigen auch eine Schwachstelle in Cisco-Switches, die von der CIA und anderen ausgenutzt werden kann.

Cisco warnt vor einer kritischen Sicherheitslücke in über 300 Switch-Modellen, die durch eine Analyse der von Wikileaks mit Vault 7 enthüllten CIA-Dokumente entdeckt wurde. Die zuvor auch dem Hersteller nicht bekannte Schwachstelle wirkt sich schon bei der standardmäßigen Konfiguration betroffener Geräte aus und kann über IPv4 oder IPv6 ausgenutzt werden. Dem US-Geheimdienst soll durch diese Zero-Day-Lücke der Zugang zu einigen Hunderttausend Geräten möglich gewesen sein.

Cisco (Grafik: Cisco)

Der als CVE-2017-3881 katalogisierte Fehler befindet sich im Cisco Cluster Management Protocol (CMP) in Ciscos IOS- und IOS-XE-Software. CMP nutzt Telnet für interne Kommunikation, akzeptiert aber auch andere Telnet-Verbindungen und eröffnet damit Angriffsvektoren für nicht authentifizierte Angreifer aus der Ferne.

Zur Gefährdung trägt als zweiter Faktor eine fehlerhafte Verarbeitung manipulierter CMP-spezifischer Optionen bei, was einem Angreifer die Ausführung beliebigen Codes erlauben könnte. Das könnte ihm in der Folge ermöglichen, mit entsprechend präparierten Anfragen vollständige Kontrolle über das Gerät zu erlangen oder einen Neustart des betreffenden Geräts durchzuführen.

In einem Sicherheits-Advisory listet Cisco gefährdete Modelle auf und kündigt die Veröffentlichung eines kostenlosen Softwareupdates an, um die Schwachstelle zu schließen, nennt aber noch keinen Termin dafür. Da es außerdem keinen Workarround gebe, rät der Hersteller, bei den betroffenen Geräten Telnet zugunsten von SSH zu deaktivieren.

Um die Gefährdung festzustellen, ist bei mit IOS XE laufenden Geräten das Vorhandensein des CMP-Subsystems zu prüfen. Ob die Gerätekonfiguration Telnet-Verbindungen zulässt, ist bei allen fraglichen Geräten erforderlich, die mit Cisco IOS oder Cisco IOS XE laufen. Wenn Kunden das Telnet-Protokoll nicht deaktivieren können oder wollen, empfiehlt der Hersteller, zumindest die Angriffsfläche zu verringern durch iACLs (Infrastructure Access Control Lists).