Hacker stürzen sich auf Ciscos Sicherheitslücke – bisher ohne Erfolg

Nachdem der Netzwerkausrüster Cisco am vergangenen Donnerstag vor einem gravierenden Sicherheitsmangel in seinem Router-Betriebssystem gewarnt hat, haben zahlreiche Unternehmen Angriffe auf ihre IT-Systeme festgestellt. Allerdings haben die Verantwortlichen ITler offenbar die Ratschläge des Herstellers befolgt und Einstellungen verändert oder den bereitgestellten Patch installiert. Denn Berichte über Schäden oder Beeinträchtigungen gibt es bisher nicht.
Sicherheitsexperten wie Oliver Friedrichs von Symantecs ‘Security Response’ hatten vor weit reichenden Auswirkungen gewarnt, weil die Cisco-Hardware schlicht und einfach so weit verbreitet ist. Zum glimpflichen Verlauf hat aber wohl auch die Strategie Ciscos beigetragen, zunächst die großen Backbone-Betreiber wie AT&T zu informieren. Sie konnten dann ihre Hardware als erste absichern und erst danach ging Cisco mit seiner Warnung an die Öffentlichkeit.

Während manche Beobachter warnen, es sei nach nur wenigen Tagen zu früh für eine Entwarnung, nehmen andere die Umstände zum Anlass, die Gefahr für beendet zu erklären. Denn der für einen Exploit notwendige Code ist besonders klein und leicht auf verletzliche Systeme zu schicken, so Paul Robertson, beim Sicherheitsspezialisten True-Secure zuständig für Risikoabschätzung. Außerdem könnten in Kombination mit einem Wurm fremde Rechner als Versender der gefährlichen Datenpakete gekapert werden. Wenn dies alles also bisher nicht geschehen sei, dann seien die Sicherheitslöcher offenbar schon gestopft und die hackende Gemeinde werde das auch schnell erkennen, so die Argumentation.

Wird ein Device mit Ciscos Internetwork Operating System mit den fraglichen Paketen beschickt, quittiert es nach kurzer Zeit wegen eines überlaufenden Caches seinen Dienst. Weil die benötigten Datenmengen aber so gering sind, ist deren Ursprung zunächst schwer zu identifizieren. Warnhinweise oder Fehlermeldungen springen auf den Angriff nicht an, betroffenes Equipment müsste also in jedem Fall von Hand wieder hochgefahren werden.

Für Aufregung sorgte in Deutschland dann aber ein Ausfall von Web- und FTP-Servern beim großen Berliner Hoster Strato am Samstag. Der Absturz sei nicht durch den Cisco-Fehler verursacht worden, beeilte man sich, entsprechende Vermutungen zu entkräften. Vielmehr sei das Unternehmen Opfer eines verteilten Denial-of-Service-Angriffs geworden. Nachdem Teile der Infrastruktur mit ICMP-Paketen überflutet worden seien, habe man eine Möglichkeit gefunden, diese Angriffe abzuwehren und die Dienste wieder bereitzustellen. Immerhin: Eine breitere Öffentlichkeit ist inzwischen sensibilisiert Meldungen wie die über Ciscos Schwächeanfall.