Sicherheitslücken in Netzwerkgeräten: Erkannt bedeutet nicht gleich harmlos

Kann eine theoretische Sicherheitslücke ausgenutzt werden?

Nachrichten über Sicherheitslücken gibt es fast jeden Tag. Sie werden im Internet wild diskutiert, Entwickler veröffentlichen Patches und danach scheinen sich alle wieder zu beruhigen. Das Problem ist gelöst und alles ist scheinbar wieder in Ordnung … Aber leider nur in der Theorie! Denn nicht alle Administratoren installieren Updates, insbesondere wenn es sich um Software für Netzwerkgeräte handelt; denn hier erfordert das Aktualisieren für gewöhnlich viel Aufwand.

Einige Systemadministratoren glauben schlichtweg nicht daran, dass ihr Unternehmen zum Zielobjekt von Kriminellen werden könnte. Viele von ihnen scannen offizielle Sicherheitsberichte auf die magischen Worte „Keine Anzeichen darauf, dass die Schwachstelle in freier Wildbahn ausgenutzt wird“ und lehnen sich zurück, da sie davon ausgehen, dass es sich lediglich um eine theoretische Sicherheitslücke handelt.

Im vergangenen Jahr wurden mehrere schwerwiegende Sicherheitslücken auf Geräten von Cisco gemeldet. In einem der Berichte – SNMP Remote Code Execution Vulnerabilities in Cisco IOS and IOS XE operating systems (ID der Schwachstelle: cisco-sa-20170629-snmp) – wurde erläutert, wie ein Außenstehender möglicherweise die volle Kontrolle über das gesamte System erlangen könnte. Man benötigt lediglich einen SNMP Read Only Community String (eine Art Benutzer-ID oder Passwort) für das entsprechende System. Das Problem ist seit Juli 2017 bekannt. Cisco nimmt Sicherheitslücken sehr ernst und hat die Schwachstelle folglicherweise unverzüglich gestopft.

Unser Kollege Artem Kondratenko, Experte für Pentests, führte einen externen Penetrationstest durch und machte einen Cisco-Router mit dem standardmäßigen SNMP Community String ausfindig. Er untersuchte, wie gefährlich die Schwachstelle tatsächlich sein könnte. Sein Ziel war es, sich über den Router Zugang zum internen Netzwerk zu verschaffen. Übrigens wurde nicht nur Kondratenko bei seiner Suche fündig: Auch Shodan verzeichnete 3313 Geräte desselben Modells mit dem Standard-Community-String.

Auf die technischen Details möchten wir in diesem Beitrag nicht näher eingehen. Wenn wir Ihr Interesse geweckt haben und Sie sich mit Kondratenkos Untersuchung vertraut machen möchten, sollten Sie sich seinen Vortrag auf dem Chaos Communications Congress anschauen. Wichtig ist hier das Endergebnis. Kondratenko demonstrierte, dass die beschriebene Sicherheitslücke ausgenutzt werden kann, um Zugriff auf ein System mit der Privilegstufe 15 zu erhalten (das absolute Maximum für Ciscos IOS Shell). Auch wenn es (noch) keine Anzeichen für eine Ausnutzung der Schwachstelle in der Praxis gibt, sollten mögliche Schwachstellen nicht ignoriert werden. Kondratenko brauchte lediglich vier Wochen (vom Zeitpunk der Entdeckung des anfälligen Geräts) bis er ein Proof of Concept für die Nutzung von cisco-sa-20170629-snmp erstellt hatte.

Um sicherzustellen, dass Ihr Router nicht eines der ersten Opfer einer solchen Sicherheitslücke wird, sollten Sie Folgendes tun:

    1. Vergewissern Sie sich, dass Ihre Netzwerk-Software immer auf dem neuesten Stand ist;
    2. Verwenden Sie keine Standard Community Strings für Router, die mit dem externen Netzwerk verbunden sind (am Besten, Sie vermeiden die Verwendung von Standard Community Strings);
    3. Halten Sie Ausschau nach EOL-Ankündigungen für Ihre Netzwerkgeräte – wenn Geräte nicht mehr von ihren Herstellen unterstützt werden, sieht es auch für mögliche Updates schlecht aus.
Tipps