Kreativer Fix für Cisco-Lücke

Mitarbeiter des Netzwerk-Unternehmens Cisco stopften eine Sicherheitslücke in zwei Small-Business-Routern offenbar auf recht kreative Art und Weise.

Fehlt an einer Wohnungstür ein Schloss, kann jeder diese Wohnung betreten, ohne einen Schlüssel zu brauchen. Will der Besitzer das nicht, muss er ein Schloss anbringen. Problem gelöst. Cisco-Mitarbeitern fanden für dieses Dilemma allerdings noch eine andere kreative Lösung. Sie klebten quasi eine Fototapete über die Tür, damit diese so aussieht, wie die Wand rechts und links und reichten diese Lösung als Patch ein.

Tatsächlich ging es nicht um eine Tür, sondern um Ciscos RV320 und RV325 Dual-Gigabit WAN VPN-Router für kleine Unternehmen. Diese erlaubten es offenbar auch unbefugten Nutzern, die Konfigurationen der Geräte auszulesen. Im “rt-sa-2018-003” beschrieben die Mitarbeiter von Redteam Pentesting, dass es über eine manipulierte Anfrage möglich ist, die Konfiguration des Routers auszulesen, ohne sich authentifizieren zu müssen. Zu den auf diesem Weg gewonnenen Daten gehören unter anderem Informationen zur Netzwerkkonfiguration, Zugangsdaten für VPN und IPsec sowie Passwort-Hashes für die Benutzeraccounts auf dem Router.

Curl ist Schuld

Die Sicherheitsexperten stuften das Risiko der Lücke aufgrund der verfügbaren Informationen als “Hoch” ein und meldeten die Lücke bereits im September 2018 an Cisco. Das Unternehmen versprach Abhilfe und erbat sich Zeit und einen Aufschub bis Ende Januar 2019, um die Lücke zu beheben.

Am 22.1. reagierte Cisco schließlich mit einem Fix, der wiederum bei den Pentestern für Erstaunen sorgte. In der Datei “/etc/nginx.conf” der Firmware-Version 1.4.2.20 fand sich eine If-Schleife, die eine Fehlermeldung 403 (Forbidden) wirft, wenn der Zugriff auf die beiden Router über Curl erfolgt. Dies stellte Ciscos interner Nginx anhand des User-Agent-Strings fest.

Nicht nur handelte es sich bei dieser Maßnahme also um keinen Fix, weil sie das ursprüngliche Problem nicht behebt. Offenbar wusste Ciscos Security-Experten auch nicht, dass Curl-Nutzer den User Agent über die Option “-A” beliebig ändern können, was den Fix auch aus dieser Perspektive absolut wirkungslos machte.

Redteam wies Cisco auf das Problem hin und nannte einen Termin für das zweite Advisory. Das Unternehmen versprach einen Fix, meldete sich dann aber bei den Pentestern, um einen weiteren Aufschub der Veröffentlichung zu erreichen. Nun aber hatten die Pentester die Nase voll und publizierten ihr zweites Advisory. Cisco will das Problem nun bis Mitte April beheben, bis dahin bleiben die Router ungeschützt im Netz.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben