Datenschutz & Sicherheit
Alte Cisco-Lücke attackiert: Leitfaden zum Schutz
Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor aktuell beobachteten Angriffen auf eine Cisco-IOS-Schwachstelle, die bereits 18 Jahre auf dem Buckel hat. Zusammen mit zahlreichen internationalen IT-Sicherheitsbehörden hat die CISA zudem einen Leitfaden veröffentlicht, der helfen soll, Router gegen Angriffe insbesondere von staatlichen Akteuren aus Russland abzusichern.
Weiterlesen nach der Anzeige
Die IT-Sicherheitsbeamten der CISA haben die Cisco-IOS-Sicherheitslücke jetzt in den „Known Exploited Vulnerabilities“-Katalog aufgenommen. Es handelt sich um eine Schwachstelle vom Typ „Cross-Site Request Forgery“, bei der eine bösartige Webseite den Browser von angemeldeten Nutzern dazu bringt, Aktionen im Sinne der Angreifer auf der verwundbaren Webseite auszuführen. Betroffen ist die Web-Management-Oberfläche von Cisco IOS 12.4. Die Lücke ist seit 2008 bekannt und wurde damals bereits gefixt (CVE-2008-4128, CVSS 4.3, Risiko „mittel“).
In welchem Umfang die Angriffe ablaufen und wie sie konkret aussehen, nennt die CISA wie üblich nicht. IT-Verantwortliche sollten jedoch prüfen, ob sie noch verwundbare Geräte im Einsatz haben und diese aktualisieren, sofern das noch möglich ist, oder durch noch vom Hersteller unterstützte Geräte und Softwareversionen ersetzen.
Angriffe russisch-staatlicher Akteure
Möglicherweise handelt es sich um Angriffe aus dem russisch verorteten Dunstkreis. Zusammen mit zahlreichen anderen internationalen Strafverfolgungs- und IT-Sicherheitsbehörden hat die CISA am Montag dieser Woche einen Leitfaden herausgegeben, der Admins helfen soll, Router vor Angriffen russisch-staatlicher Akteure zu schützen.
Insbesondere Mitglieder der Gruppe „Center 16“ des russischen Geheimdienstes FSB greifen schlecht konfigurierte und verwundbare Netzwerkgeräte auf globaler Ebene an und kompromittieren diverse kritische Infrastruktur-Netzwerke opportunistisch. Eine Grafik stellt den Aktionen der Agenten Gegenmaßnahmen gegenüber, etwa die Implementierung von SNMPv3 anstatt der anfälligen und unsichereren Versionen SNMPv1 und SNMPv2. Zudem sollen sichere Passwörter zum Einsatz kommen. Admins sollen demnach zudem Ciscos „Smart Install“ deaktivieren und SNMP-, TFTP- sowie SMI-Traffic auf der Firewall blockieren. Eine PDF-Datei geht etwas mehr in die Details und erwähnt explizit auch die nun als angegriffen gemeldete Cisco-IOS-Schwachstelle sowie die zuvor ausgenutzte Smart-Install-Lücke CVE-2018-0171.
Schwachstellen in Cisco-Produkten stehen bei Cyberkriminellen hoch im Kurs, ermöglichen sie doch regelmäßig Zugang zu Netzwerken. Zuletzt wurden etwa Angriffe auf Ciscos Unified CM Ende Juni beobachtet.
Weiterlesen nach der Anzeige
(dmk)