Thought Leadership
Eine maximal bewertete Sicherheitslücke in Cisco-Netzwerkprodukten wird offenbar schon seit 2023 aktiv für Angriffe genutzt. Behörden mehrerer Länder fordern jetzt dringendes Handeln.
Cisco hat eine schwere Sicherheitslücke in seinen Catalyst-SD-WAN-Produkten bekanntgegeben. Die Schwachstelle erhält den höchstmöglichen CVSS-Score von 10.0 und erlaubt es Angreifern, über das Internet in betroffene Netzwerke einzudringen und sich dort mit maximalen Berechtigungen festzusetzen. Cisco-Forscher fanden sogar Belege dafür, dass die Lücke bereits seit 2023 ausgenutzt wird.
Die betroffenen SD-WAN-Produkte kommen vor allem in Großunternehmen und Behörden zum Einsatz, die damit verschiedene Standorte über weite Entfernungen in gemeinsame Netzwerke einbinden. Wer die Lücke ausnutzt, kann sich dauerhaft und unsichtbar in einem fremden Netzwerk einnisten und dort über längere Zeit Daten abgreifen oder Aktivitäten ausspähen.
Fehler im Authentifizierungsmechanismus
Technisch liegt das Problem im Peering-Authentifizierungsmechanismus des Catalyst SD-WAN Controllers sowie des SD-WAN Managers. Cisco beschreibt die Lücke in seinem Security Advisory folgendermaßen: „Eine Schwachstelle in der Peering-Authentifizierung des Cisco Catalyst SD-WAN Controllers sowie des Cisco Catalyst SD-WAN Managers könnte es einem nicht authentifizierten, entfernten Angreifer ermöglichen, die Authentifizierung zu umgehen und administrative Rechte auf einem betroffenen System zu erlangen.”
Zur Ursache heißt es weiter: „Diese Schwachstelle besteht, weil der Peering-Authentifizierungsmechanismus in einem betroffenen System nicht korrekt funktioniert. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er speziell präparierte Anfragen an ein betroffenes System sendet.” Im Erfolgsfall könne sich der Angreifer „als interner, hochprivilegierter Nicht-Root-Benutzeraccount” am Controller anmelden und darüber auf NETCONF zugreifen, „was es ihm ermöglichen würde, die Netzwerkkonfiguration des gesamten SD-WAN-Verbunds zu manipulieren.” Workarounds gebe es nicht, jedoch steht ein Software-Update bereit.
NETCONF (Network Configuration Protocol) ist ein Netzwerkverwaltungsprotokoll, das 2006 von der IETF standardisiert wurde. Es ermöglicht Administratoren, die Konfiguration von Netzwerkgeräten wie Routern und Switches abzurufen, zu ändern und zu löschen.
Angriffe auf kritische Infrastruktur
Unter den betroffenen Organisationen sollen sich Betreiber kritischer Infrastruktur befinden. Cisco nannte keine konkreten Fälle. Australien, Kanada, Neuseeland, Großbritannien und die USA haben gemeinsam gewarnt, dass Angreifer Organisationen weltweit im Visier haben. Die US-Behörde CISA hat derweil alle zivilen Bundesbehörden verpflichtet, verfügbare Patches sofort einzuspielen. Wer hinter den Angriffen steckt, ist bislang nicht offiziell bekannt. Cisco verfolgt eine Gruppe unter der internen Bezeichnung UAT-8616.
