Cisco Catalyst-Switches lassen sich leicht übers Internet übernehmen

Cisco will nicht patchen. Und hat damit recht und unrecht zugleich, sagen Schweizer Experten. Das grössere Problem ist ein anderes.
 
"Smart Install" heisst ein Service von Cisco, um dessen Switches übers Internet zu warten. Nun meldet 'Heise', über 200'000 von diesen lassen sich anders konfigurieren oder ganz übernehmen, weil eine Authentifizierung nicht vorgesehen sei. "Das ist extrem gefährlich", glaubt 'Heise'.
 
Es handelt sich insbesondere um die Catalyst-Serie und das Smart-Install-Problem sei auch dem Hersteller eigentlich bekannt. Entsprechend könnten aktuell mit vorhandenen, öffentlichen Exploit-Tools auch x Konfigurations-Dateien abgesaugt werden. Cisco hat aktuell keinen Patch, sondern betrachtet das Problem als Fehler bei der Handhabung durch Kunden.
 
Wie gross ist das Problem überhaupt und wie ist es in der Schweiz? "Wir gehen davon aus, dass in der Schweiz rund 2000 Devices betroffen sind", sagt ISPIN-CEO Marco Marchesi, dessen Security-Spezialisten momentan vertiefte Analysen und Abklärungen machen.
 
Wie gewichtig ist das Problem aus der Sicht eines Schweizer Enterprise-Datacenters? "Das ist nicht gut", so Kaspar Geiser, Geschäftsführer von Aspectra, einem Spezialisten für Dedicated Hosting.
 
"Cisco hat nicht nur unrecht"
Prinzipiell sieht er das Problem aus mehreren Gründen aber nicht bei Cisco. "Heutzutage erwartet man von Geräten, dass man diese einfach einstecken kann und fertig. Und wer das ganze Internet an ein solches Gerät hängt, ist eigentlich blauäugig. Prinzipiell hat ein solcher Router beziehungsweise Switch nichts am Internet verloren. Und wenn man es doch tun wolle, "dann sollen nur Cisco-Geräte mit Cisco-Geräten reden."
 
Umberto Annino, Präsident des Security-Fachleuteverbands ISSS, stimmt ihm zu. "Cisco hat nicht nur unrecht. Da ist Faulheit bei den Administratoren im Spiel und dies ist grob fahrlässig. Andererseits stellt sich die Frage: Könnte auch Cisco mehr tun? Könnte Cisco "Privacy by Default" konfigurieren? Das wäre ein anderer Ansatz: Lieber Administrator, wenn du unser Gerät offen im Internet willst, dann kannst du das auch so konfigurieren. Aber das musst du selbst einrichten und es ist grob fahrlässig."
 
Geiser sagt, Security-Experten wüssten um die Gefahren und ebenso, dass Software immer Schwächen haben wird. Sie würden entsprechend auch andere Cisco-Modelle oder mindestens andere Konfigurationsmechanismen wählen, als die primär auf "Cloudiness" und Komfort ausgerichteten Serien.
 
Das eigentlich grössere Problem
Nebenbei trete hier ein weiteres, grösseres und eigentlich auch bekanntes Problem zu Tage, so Geiser: "Wenn ich es schaffe, ein "inneres" System (Server oder PC) zu infizieren, kann das Gerät auch von innen angegriffen werden."
 
Wenn jemand Zugriff auf irgendwelche Konfigurations-Files gewinnt, ob diejenigen des Cisco-Switches, der Firewall oder wenn ein Angreifer Vulnerability Scans (beispielsweise nmap oder Nessus) erbeutet, dann fällt ihm gefährliches internes Know-how in den Schoss. Heutzutage werden viele Konfigurationen oder eben auch Schwachstellen-Scans in Form von lesbaren XML-Dateien abgelegt. Diese Dateien werden teilweise auch für Backup und Restore verwendet. Diese Dateien müssen vor unberechtigten Zugriffen geschützt werden. "Die Gefahr kennt man eigentlich", sagt Geiser. "Nur weil die Router, die Switches oder eine Firewall an sich sicher ist, bedeutet das folglich leider nicht, dass nun alles sicher ist und eine Infrastruktur nicht angreifbar ist."
 
Zurück zur Firmenpolitik von Cisco: Annino glaubt, Cisco werde in einigen Wochen ganz unaufgeregt tun und doch reagieren: "Ich würde mich nicht wundern, wenn sie einen entsprechenden Patch nachliefern". (Marcel Gamma)