Es ist eine jener Sicherheitslücken, bei denen es Systemadministratorinnen und -administratoren den Angstschweiß auf die Stirn treibt. Ausgerechnet in den für viele Unternehmen wichtigen Routern von Cisco gibt es nun eine Lücke, wie sie kaum schlimmer sein könnte – ist sie doch nicht nur hochgefährlich, sondern wird bereits seit Wochen aktiv ausgenutzt.

Übernahme

Über eine Lücke im Web-Interface zu Ciscos IOS-XE-Software können nicht nur entsprechende Router, sondern in weiterer Folge das gesamte lokale Netzwerk komplett unter Kontrolle gebracht werden. Ob dort ein HTTP- oder ein verschlüsselter HTTPS-Server läuft, ist für den Angriff egal.

Das Cisco-Logo.
Cisco hat ein Problem.
REUTERS

Die als CVE-2023-20198 geführte Lücke wird mit einem Schweregrad (CVSS) von 10 eingeschätzt, das ist die höchstmögliche Gefährdungsstufe. Als wäre das nicht unerfreulich genug, hat Cisco Belege gefunden, dass der Fehler mindestens seit dem 18. September von Unbekannten für ihre Attacken genutzt wird.

Schritt für Schritt

In weiterer Folge werden dann andere Lücken genutzt, um eine Hintertür auf dem System einzubringen. Zum Teil wurden dafür seit langem bekannte Sicherheitsdefizite ausgenutzt, allerdings hat es offenbar auch erfolgreiche Attacken auf vollständig gepatchte Systeme gegeben. Derzeit weiß Cisco nach eigenen Angaben noch nicht, wie das den Angreifern gelungen ist. Hier dürfte also noch eine weitere, bisher unbekannte Lücke für diese zweite Stufe der Übernahme zum Einsatz kommen.

Auf einem infizierten System findet sich das Implantat der Angreifer dann unter /usr/binos/conf/nginx-conf/cisco_service.conf. In der Programmiersprache Lua geschrieben, erlaubt es Angreifern, von außen über den Webserver das System zu kontrollieren. Diese Hintertür übersteht zwar einen Neustart des Systems nicht, solange die Lücke nicht entfernt wurde, können die Angreifer aber natürlich eine neue Infektion vornehmen.

Handlungsbedarf

Die Sicherheitsexperten von Cisco Talos raten allen, die ein System mit IOS XE einsetzen, dringend dazu, ihre Netzwerke nach Spuren einer Infektion zu durchsuchen. Ein Warnzeichen sei etwa, wenn es auf den Systemen neu angelegte Benutzerkonten gibt, die nicht erklärbar sind. Weitere Informationen und Tipps zum Schutz betroffener Geräte gibt es im zugehörigen Security Advisory.

Ganz generell unterstreicht Cisco aber noch einen anderen Sicherheitshinweis, der immer gilt, in diesem Fall aber besondere Dringlichkeit hat. Nämlich dass solche Web-Oberflächen nie zum Internet hin offen sein sollten. Klingt nach einer Binsenweisheit, wie "Arstechnica" mit einer Suche bei der Spezialsuchmaschine Shodan herausgefunden hat, lassen sich aber mindestens 80.000 Geräte aus dem offenen Internet finden, die potenziell von der Lücke betroffen sind. Das macht Angreifern ihr Werk natürlich wesentlich einfacher. (Andreas Proschofsky, 17.10.2023)