Update: Cisco patcht kritische Zero-Day-Schwachstelle in Routern und Switches

Update vom 23.10.2023: Cisco hat angefangen, Sicherheits-Updates für sein Betriebssystems IOS XE zu veröffentlichen. Die Patches schliessen die seit Mitte Oktober 2023 ausgenutzte Sicherheitslücke, über die böswillige Hacker die Kontrolle über Router und Switches übernehmen können. Allerdings stehen noch längst nicht Updates für alle von der Schwachstelle betroffenen Geräte zur Verfügung. Eine Übersicht über die verfügbaren und noch ausstehenden Patches stellt Cisco online bereit. Dort schreibt der Hersteller auch, er veröffentliche solche Updates für die Extended-Release-Versionen der Software.

Seit Freitag, 20. Oktober 2023, ging die Anzahl der durch die Schwachstelle kompromittierten Cisco-Geräte scheinbar erstaunlich schnell zurück, wie "Bleeping Computer" unter Berufung auf verschiedene Cybersecurity-Unternehmen berichtet. Fanden diese mit ihren Sicherheits-Scans am Freitag über 60'000 infizierte Geräte, waren es einen Tag später lediglich noch etwas mehr als 1000.

Die im Bericht zitierten Experten haben dafür verschiedene Erklärungen: Patrice Auffret von Onyphe vermutet, dass die Hacker mit einem Update ihrer Malware dafür sorgten, dass diese mittels Security-Scan nicht mehr zu entdecken ist. Sicherheitsforscher Daniel Card mutmasst, dass die per Sicherheits-Scan auffindbaren Angriffsziele lediglich von "den wirklichen Zielen" der Hacker ablenken sollten. Eine weitere im Bericht diskutierte Möglichkeit ist die eines "Grey Hat hackers"; dieser soll nach infizierten Geräten suchen und sie proaktiv neu starten, wodurch er die von Hackern geöffnete Hintertür schliesst. Dies sei jedoch eher unwahrscheinlich, wie es unter Berufung auf das Cyberdefense CERT der Orange-Group heisst.

Originalmeldung vom 19.10.2023:

Schwere Sicherheitslücke bedroht Router und Switches von Cisco

Eine schwerwiegende Sicherheitslücke macht Ciscos Netzwerkgeräte angreifbar. In einer Mitteilung warnt Cisco eindringlich vor der Schwachstelle, die bösartige Hacker bereits für Angriffe ausnützen.

Wie Cisco präzisiert, steckt die Sicherheitslücke in IOS XE. Die Software ist auf einer Vielzahl von Netzwerkgeräten installiert, darunter Routern und Switches. Betroffen sind alle Installationen mit aktiviertem Web-UI-Feature, also der Möglichkeit, per Web-Browser auf das System zuzugreifen.

Die Schwachstelle ermöglicht es Unbefugten, neue Nutzer-Accounts anzulegen und diesen Administratorrechte zu erteilen. Kurz: Angreifer können die Steuerung der Geräte übernehmen und nach Belieben Konfigurationsänderungen vornehmen. Wie Cisco gemäss internen Untersuchungen mitteilt, kommt es schon seit dem 18. September zu Angriffen über diese Sicherheitslücke.

Nach heutigem Stand hat Cisco noch keine Sicherheits-Patches zur Behebung des Problems veröffentlicht. Auch Workarounds zur Absicherung von IOS-XE-Umgebungen gibt es laut der Cisco-Meldung keine. Das Unternehmen empfiehlt lediglich, das HTTP-Server-Feature zu deaktivieren oder – falls irgendwie möglich – den Zugriff darauf auf vertrauenswürdige Netzwerke einzuschränken.

Um festzustellen, ob ein System kompromittiert ist, nennt Cisco folgenden Konsolenbefehl:

curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"

Hierbei ist "systemip" durch die IP-Adresse des zu testenden Geräts zu ersetzen. Erscheint als Resultat eine hexadezimale Zeichenfolge, befindet sich ein Implant im System, welches mutmasslich von Angreifern platziert wurde. Weitere Anzeichen und Informationen zum Erkennen einer Infektion finden sich auf der Cisco-Website.

Anfang Oktober 2023 warnte Cisco vor einer Sicherheitslücke im Emergency Responder. Updates zum Absichern der Systeme stehen bereit, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.