Cisco patcht SSH-Key in Sicherheitsprodukten

Cisco (Bild: Cisco)

Virtuelle Sicherheitsappliances von Cisco leiden an einem Fehler, über den Angreifer Remote auf auf die Sicherheitslösungen zugreifen können.

Cisco warnt in einem Advisory vor einem schwerwiegenden Sicherheitsleck in Default SSH Sicherheitsschlüsseln. Betroffen sind die Web Security Virtual Appliance (WSAv), die Email Security Virtual Appliance (ESAv), und die Security Management Virtual Appliance (SMAv). In sämtlichen Anwendungen sind Default-Keys enthalten, die für den Remote-Zugriff genutzt werden können.

cisco OpenSOC. (Bild: Cisco)

Allerdings ist es über diese Keys auch für einen Angreifer möglich, vollständig die Kontrolle über die Lösungen zu erlangen, wenn er sich erfolgreich einloggt. Das ist aber laut Cisco sehr einfach möglich.

“Eine Verbindung mit der IP-Adresse des Management-Interfaces auf der betroffenen Plattform ist die einzige Voraussetzung dafür, dass die Verwundbarkeit ausgenutzt werden kann. Es ist keine weitere Konfiguration nötig, um dieses Leck auszunutzen”, warnt der Hersteller.

Weiter heißt es: “Anwender-Deployment und Images enthalten ein Set von vorinstallierten SSH-Host-Keys, die den Zugriff auf die Kommunikation, die diese Keys schützen, erlauben. Weil alle Deployments von WSAv oder ESAv das gleiche Set von vorinstallierten SSH Host Keys verwenden, reicht es für einen Angreifer aus, auf einen der privaten Keys in einer Installation zuzugreifen, und er kann dann die gesamte Kommunikation auf WSAv, ESAv oder SMAv entschlüsseln.” Cisco bewertet daher das Leck mit einem CVSS-Base Score von 9,3. Maximal sind 10,0 Punkte möglich.

Mit dem Patch “cisco-sa-20150625-ironport SSH Keys Vulnerability Fix” behebt Cisco das Leck. Sämtliche Versionen der oben genannten Produkte, die vor dem 25. Juni ausgeliefert wurden, sollten dringend den Patch bekommen. Der Patch, der manuell eingespielt werden muss, deinstalliert die vorinstallierten Keys. Anschließend ist ein Neustart nötig.

Ein Workaround für das Problem sei derzeit laut Cisco nicht bekannt. Allerdings meldet es, dass derzeit wohl keine Veröffentlichungen oder bekannten Angriffe mit dieser Verwundbarkeit existieren.

Im Fall von WSAv sind sowohl Images auf Basis von VMware und KVM betroffen. Im Fall von ESAv und SMAv sind lediglich VMware-basierte Images betroffen.

Nicht betroffen seien hingegen physische Hardware-Appliances wie die Cisco Web Security Appliance (WSA), Cisco Email Security Appliance (ESA) und die Cisco Content Security Management Appliance. Downloads oder Upgrades nach dem 25. Juni müssten ebenfalls nicht mehr aktualisiert werden, so Cisco.

Derzeit hat Cisco auch den Download der Images von WSAv, ESAv und SMAv ausgetzt. Entsprechend neue Versionen würden in den nächsten Tagen veröffentlicht.