Cisco IOS 0-Day-RCE-Sicherheitslücke aktiv ausgenutzt

Eine Sicherheitslücke im Simple Network Management Protocol (SNMP)-Subsystem der Cisco IOS-Software und der Cisco IOS XE-Software könnte Folgendes ermöglichen: Ein authentifizierter, entfernter Angreifer mit geringen Berechtigungen könnte einen Denial-of-Service (DoS)-Zustand auf einem betroffenen Gerät verursachen, auf dem Cisco IOS-Software oder Cisco IOS XE-Software ausgeführt wird.

Um den DoS-Angriff auszuführen, muss der Angreifer über die SNMPv2c- oder frühere schreibgeschützte Community-Zeichenfolge oder gültige SNMPv3-Benutzeranmeldedaten verfügen. Ein authentifizierter, entfernter Angreifer mit hohen Berechtigungen könnte Code als Root-Benutzer auf einem betroffenen Gerät ausführen, auf dem Cisco IOS XE Software läuft. Um Code als Root-Benutzer auszuführen, muss der Angreifer über den schreibgeschützten Community-String SNMPv1 oder v2c oder gültige SNMPv3-Benutzeranmeldedaten und Administrator- oder Privileg-15-Anmeldedaten auf dem betroffenen Gerät verfügen. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, indem er ein manipuliertes SNMP-Paket über IPv4- oder IPv6-Netzwerke an ein betroffenes Gerät sendet. Diese Sicherheitslücke ist auf einen Stapelüberlauf im SNMP-Subsystem der betroffenen Software zurückzuführen. Ein erfolgreicher Exploit könnte es einem Angreifer mit geringen Berechtigungen ermöglichen, das betroffene System neu zu laden, was zu einer DoS-Situation führen würde, oder es einem Angreifer mit hohen Berechtigungen ermöglichen, beliebigen Code als Root-Benutzer auszuführen und die vollständige Kontrolle über das betroffene System zu erlangen. Hinweis: Diese Sicherheitslücke betrifft alle Versionen von SNMP.

Betroffene Produkte

Diese Sicherheitslücke betrifft Cisco-Geräte, auf denen eine anfällige Version der Cisco IOS-Software oder der Cisco IOS XE-Software ausgeführt wird.

Meraki MS390- und Cisco Catalyst 9300-Switches, auf denen Meraki CS 17 und frühere Versionen ausgeführt werden, sind ebenfalls betroffen. Dieses Problem wurde in der Cisco IOS XE-Softwareversion 17.15.4a behoben.

Hinweis: Diese Sicherheitslücke betrifft alle Versionen von SNMP. Alle Geräte, auf denen SNMP aktiviert ist und die betroffene Objekt-ID (OID) nicht ausdrücklich ausgeschlossen wurde, sollten als anfällig betrachtet werden. Weitere Informationen zum Ausschluss der OID finden Sie im Abschnitt „Workarounds“ dieser Sicherheitsempfehlung.

Informationen darüber, welche Cisco-Softwareversionen anfällig sind, finden Sie im Abschnitt „Behobene Softwareprobleme“ dieser Sicherheitsempfehlung.

Ermitteln der Gerätekonfiguration

Um festzustellen, ob auf einem Gerät SNMPv1 oder v2c aktiviert ist, verwenden Sie den CLI-Befehl „show running-config | include snmp-server community“. Wenn eine Ausgabe erfolgt, ist SNMP aktiviert, wie im folgenden Beispiel gezeigt:

Router# show running-config | include snmp-server community

snmp-server community public ro

Um festzustellen, ob SNMPv3 auf einem Gerät aktiviert ist, verwenden Sie die CLI-Befehle „show running-config | include snmp-server group“ und „show snmp user“. Wenn beide Befehle eine Ausgabe liefern, ist SNMPv3 aktiviert, wie im folgenden Beispiel gezeigt:

Router# show running-config | include snmp-server group

snmp-server group v3group v3 noauth

Router# show snmp user

Benutzername: remoteuser1

Engine-ID: 800000090300EE01E71C178C

Speichertyp: nichtflüchtig     aktiv

Authentifizierungsprotokoll: SHA

Datenschutzprotokoll: Keines

Gruppenname: v3group

Workarounds

Es gibt keine Workarounds, die diese Sicherheitslücke beheben. Es gibt jedoch eine Abhilfemaßnahme.

Administratoren wird empfohlen, nur vertrauenswürdigen Benutzern SNMP-Zugriff auf ein betroffenes System zu gewähren. Administratoren wird außerdem empfohlen, betroffene Systeme mit dem Befehl „show snmp host“ in der CLI zu überwachen.

Administratoren können die betroffenen OIDs auf einem Gerät deaktivieren. Nicht alle Softwareprogramme unterstützen die in der Abhilfemaßnahme aufgeführten OIDs. Wenn die OID für eine bestimmte Software ungültig ist, ist diese nicht von dieser Sicherheitslücke betroffen. Das Ausschließen dieser OIDs kann sich auf die Geräteverwaltung über SNMP auswirken, z. B. auf die Erkennung und die Hardware-Inventarisierung.

Um einen Ansichtseintrag zu erstellen oder zu aktualisieren und die betroffenen OIDs zu deaktivieren, verwenden Sie den globalen Konfigurationsbefehl „snmp-server view“, wie im folgenden Beispiel gezeigt:

!Standard VIEW and Security Exclusions
snmp-server view NO_BAD_SNMP iso included
snmp-server view NO_BAD_SNMP snmpUsmMIB excluded
snmp-server view NO_BAD_SNMP snmpVacmMIB excluded
snmp-server view NO_BAD_SNMP snmpCommunityMIB excluded
!End Standard View 

!Advisory Specific Mappings
!CISCO-AUTH-FRAMEWORK-MIB
snmp-server view NO_BAD_SNMP cafSessionMethodsInfoEntry.2.1.111 excluded 

Um diese Konfiguration dann auf eine Community-Zeichenfolge anzuwenden, verwenden Sie den folgenden Befehl:

snmp-server community mycomm view NO_BAD_SNMP RO

Für SNMPv3 verwenden Sie den folgenden Befehl:

snmp-server group v3group auth read NO_BAD_SNMP write NO_BAD_SNMP

Obwohl diese Abhilfemaßnahme bereits implementiert wurde und sich in einer Testumgebung bewährt hat, sollten Kunden die Anwendbarkeit und Wirksamkeit in ihrer eigenen Umgebung und unter ihren eigenen Nutzungsbedingungen prüfen. Kunden sollten sich bewusst sein, dass jede implementierte Abhilfe oder Abmilderung aufgrund der spezifischen Kundenszenarien und Einschränkungen negative Auswirkungen auf die Funktionalität oder Leistung ihres Netzwerks haben kann. Kunden sollten keine Abhilfemaßnahmen oder Abmilderungen implementieren, bevor sie nicht zunächst die Anwendbarkeit in ihrer eigenen Umgebung und die Auswirkungen auf diese Umgebung bewertet haben.

Entdecken Sie mehr

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky