Tausende Cisco-Switches offen im Internet – Angriffe laufen bereits

Cisco bietet für seine Switches einen Plug&Play-Dienst zur Fernkonfiguration namens Smart Install. Über diesen lässt sich die aktuelle Konfiguration auslesen, das Gerät konfigurieren oder auch gleich mit neuer Firmware versorgen. Dazu ist kein Passwort erforderlich; Authentifizierung sieht Smart Install nämlich gar nicht vor. Das ist extrem gefährlich, wenn die Smart-Install-Funktion solcher Switches direkt aus dem Internet erreichbar ist. Und genau das ist offenbar bei weltweit über 200.000 Cisco-Switches der Fall.

Die sind dann direkt aus dem Internet konfigurierbar und somit eine ideale Ausgangsbasis für weitere Angriffe im Firmennetz. Das betrifft gemäß der Suchmaschine Shodan allein 6400 Geräte in Deutschland; einige davon sogar bei Betreibern kritischer Infrastruktur. Prinzipiell anfällig sind alle Geräte, die sich über Smart Install einrichten lassen, also vor allem Cisco Switches der Catalyst-Serie, aber auch einige Integrated Service Router. Das Problem ist eigentlich seit fast einem Jahr bekannt, es gibt öffentlich verfügbare Tools, die es ausnutzen, um die Kontrolle über solche Switches zu erlangen. Das setzen Angreifer auch bereits in großem Stil ein.

Noch ist nichts wirklich dramatisches passiert – zumindest nichts, was bekannt geworden wäre. Doch das kann sich sehr schnell ändern. Wer also Cisco-Switches im Einsatz hat, sollte sich möglichst jetzt versichern, dass seine Geräte nicht anfällig sind. Angesichts der Ausmaße ist es auch durchaus eine gute Idee, seine Admins oder andere möglicherweise Betroffene auf das Smart-Install-Problem hinzuweisen.

2017-11-09T07:55:40+00:00