Anfällige Updates in Unternehmenssoftware von Cisco

Wie selbst High-End-Lösungen für Unternehmen „kindische“ Bugs in ihren Systemen zur Update-Bereitstellung aufweisen können.

Nur wenige der Präsentationen auf der diesjährigen Black Hat-Konferenz im August 2022 waren für Systemadministratoren und Sicherheitsbeauftragte von praktischem Nutzen: Eine willkommene Ausnahme stellte allerdings der Bericht des Forschers Jacob Baines von Rapid7 dar, der die Unternehmenssoftware von Cisco analysierte und dabei mehrere Schwachstellen aufdeckte, die er detailliert erläuterte; Jacobs Ergebnisse sind als Präsentation, in einem detaillierten Bericht sowie auf GitHub verfügbar.

Jacob entdeckte 10 Schwachstellen, die die Cisco Adaptive Security Software, den Adaptive Security Device Manager und die Firepower Services Software für ASA betreffen. Diese Softwarelösungen verwalten verschiedene Cisco-Systeme für Unternehmensanwender, einschließlich Hardware-Firewalls und End-to-End-Sicherheitslösungen für Unternehmen. Sieben dieser Probleme wurden von Cisco selbst als Schwachstellen anerkannt, während die übrigen drei – laut Hersteller – keine Auswirkungen auf die Sicherheit haben. Zum Zeitpunkt der Veröffentlichung waren zwei der sieben Sicherheitslücken noch nicht geschlossen – obwohl Rapid7 sie bereits zwischen Februar und März 2022 an Cisco gemeldet hatte (eine weitere wurde angeblich seitdem geschlossen).

Um welche Schwachstellen geht es?

Werfen wir einen Blick auf zwei der bemerkenswertesten Schwachstellen. Die Sicherheitslücke CVE-2022-20829 steht im Zusammenhang mit der in der Cisco ASA-Software verwendeten Methode zur Bereitstellung von Updates. Die Schwachstelle ist so trivial, dass binäre Update-Pakete während der Bereitstellung überhaupt nicht überprüft werden; es gibt keine Prüfung der digitalen Signatur. Rapid7 zeigte, wie man Cisco ASDM-Binärpakete modifizieren kann, um während ihrer Verarbeitung beliebigen Code auszuführen.

Die zweite erwähnenswerte Sicherheitslücke ist CVE-2021-1585 und wurde bereits Ende 2020 von dem Forscher Malcolm Lashley entdeckt. Er fand heraus, dass bei der Auslieferung von Updates das Zertifikat, das zum Aufbau einer sicheren Verbindung über einen TLS-Handshake benötigt wird, nicht angemessen verarbeitet wird. Dies wiederum ermöglicht es einem Angreifer, einen Man-in-the-Middle-Angriff auf Cisco-Clients durchzuführen; d. h. die eigenen Ressourcen durch eine legitime Update-Quelle zu ersetzen. Dadurch ist es möglich, anstelle eines Patches Schadcode auszuliefern und diesen auch auszuführen. Diese Schwachstelle hat übrigens eine interessante Vorgeschichte: Malcolm Lashley meldete sie im Dezember 2020 an Cisco. Im Juli 2021 veröffentlichte Cisco Details zu eben dieser Sicherheitslücke, allerdings ohne einen Patch bereitzustellen. Im Juli 2022 wurde die Schwachstelle auf dem internen Portal für Firmenkunden jedoch bereits als geschlossen markiert. Rapid7 zeigte, dass genau das Gegenteil der Fall war und ein möglicher Patch, wenn es diesen jemals gegeben hat, nicht funktionierte.

Auch die übrigen Schwachstellen können nicht als banal bezeichnet werden. So kann CVE-2022-20828 beispielsweise dazu verwendet werden, einen Systemadministrator via Fernzugriff anzugreifen. Die Demonstration vermittelt ein Gefühl dafür, wie ein potenzieller Angreifer durch Eingabe eines einzigen Befehls vollständigen Zugriff auf das System erlangen kann. Darüber hinaus stellte Rapid7 fest, dass die FirePOWER-Bootmodule überhaupt nicht gescannt werden. Das bedeutet, dass es bei geschlossenen Schwachstellen in der Software jederzeit möglich ist, das Boot-Image auf eine frühere, ungepatchte Version zurückzusetzen. Trotz der Möglichkeit, ein solches Downgrade für echte Angriffe zu nutzen, hat Cisco dies nicht einmal als Sicherheitsproblem betrachtet.

Schwierigkeiten bei der Bereitstellung von Updates

Diese Schwachstellen verdeutlichen zahlreiche Probleme mit dem Update-Bereitstellungsmodus, selbst bei Unternehmenssoftware, die mit hochwertigen Unternehmenslösungen gebündelt ist. Vor einiger Zeit haben wir über ein konzeptionell ähnliches Problem bei Verbrauchersoftware geschrieben, nämlich den Zoom Web-Client für Apple-Computer. Der Update-Prüfungsprozess schien recht sicher zu sein. Der Zugriff auf den Server erfolgte über eine sichere Verbindung, und die Aktualisierungsdateien waren digital signiert. Der Signaturüberprüfungsprozess ermöglichte es jedoch, dass anstelle einer legitimen ausführbaren Datei nach Belieben irgendetwas anderes ausgeführt werden konnte; und zwar mit den höchsten Privilegien. Es gab auch Fälle, in denen „schädliche Updates“ in realen Angriffen eingesetzt wurden: 2018 entdeckten Kaspersky-Forscher diese Technik in der APT-Kampagne von Slingshot, die Mikrotik-Router kompromittierte.

Im Fall von Cisco musste die digitale Signaturprüfung von ASDM-Binärpaket-Updates nicht einmal umgangen werden. Sie existierte schlichtweg nicht (der Mechanismus tauchte angeblich im August 2022 auf, seine Zuverlässigkeit wurde jedoch noch nicht überprüft). Offen gesagt sind alle von den Black-Hat-Forschern vorgeschlagenen Angriffe ziemlich schwierig auszuführen. Die Risiken sollten jedoch ernst genommen werden, da sie große Unternehmen betreffen könnten, für die bei Folgen durch Ransomware zur Dateiverschlüsselung oder den Diebstahl von Geschäftsgeheimnissen viel auf dem Spiel steht.

Das können Sie tun

Angesichts der Besonderheiten dieser Schwachstellen lautet die wichtigste Empfehlung des Rapid7-Forschers, die Arbeit im Administratormodus mit vollem Zugriff so weit wie möglich einzuschränken. Und dies bezieht sich nicht nur auf hohe Privilegien bei einer Remote-Verbindung zur Infrastruktur. Es gibt viele Beispiele, die zeigen, dass selbst bei maximaler Offline-Isolierung Hackerangriffe durch bösartige Updates oder einfache Skripte, die Software-Schwachstellen ausnutzen, möglich sind. Eine sorgfältige Überwachung der Personen, die vollen Zugang zur Infrastruktur haben, und die Einschränkung der von den Administratoren durchgeführten Aktionen können dazu beitragen, das Risiko erfolgreicher Angriffe zu verringern. Das Risiko kann jedoch nicht vollständig ausgeschlossen werden…

Tipps