DFN-CERT

Advisory-Archiv

2017-0486: Cisco IOS, IOS XE: Eine Schwachstelle ermöglicht die Übernahme eines Systems

Historie:

Version 1 (2017-03-20 11:46)
Neues Advisory
Version 2 (2017-03-23 14:16)
Auf Nachfrage teilt Cisco mit, dass Informationen, die über Cisco Bug-IDs bereitgestellt werden, häufig unvollständig und fehlerhaft sind. Es ist daher nicht davon auszugehen, dass derzeit IOS bzw. IOS XE Softwareversionen existieren, in denen die Schwachstelle CVE-2017-3881 bereits behoben wurde. Weiterhin gibt der Hersteller an, dass die einzig valide Quelle zur Ermittlung, ob eine Cisco IOS oder Cisco IOS XE Version von einer Schwachstelle betroffen ist oder nicht, die Rückmeldung des IOS Software Checker Tools ist. Dabei ist zu beachten, dass zur Prüfung einer Version *nicht* die im Cisco Security Advisory enthaltene Möglichkeit zur direkten Versionsnummerneingabe verwendet werden sollte, da diese unter Umständen falsche Antworten liefert. Das IOS Software Checker Tool soll hingegen *immer* über die beigefügte Referenz aufgerufen werden. Aufgrund des Fehlens eines Sicherheitsupdates, sollten Sie dringend prüfen, ob Sie die Möglichkeit zur Ausnutzung der Schwachstelle durch die Deaktivierung des Telnet-Protokolls oder die Umsetzung von Zugriffskontrolllisten reduzieren können (siehe auch Workaround).
Version 3 (2017-03-31 13:25)
Cisco aktualisiert den referenzierten Sicherheitshinweis und informiert über die Möglichkeit, auf Geräteebene Zugangslisten für virtuelle Terminals (VTY Access Lists) zu implementieren, um die Angriffsfläche zu reduzieren. Cisco verweist dazu auf einen entsprechenden Abschnitt im 'Cisco Guide to Harden Cisco IOS Devices' (Referenz anbei). Es stehen weiterhin keine Sicherheitsupdates zur Verfügung.
Version 4 (2017-04-18 17:21)
Cisco aktualisiert seine Sicherheitsmeldung und informiert darin über die öffentliche Verfügbarkeit eines Exploits für diese Schwachstelle, wodurch eine mögliche Ausnutzung an Wahrscheinlichkeit gewinnt.
Version 5 (2017-05-09 12:49)
Cisco aktualisiert seine Sicherheitsmeldung und informiert über die Veröffentlichung von Sicherheitsupdates. Unter der Cisco Bug ID CSCvd48893 werden 'Known Fixed Releases' aufgeführt.
Version 6 (2018-03-07 12:18)
Cisco aktualisiert den referenzierten Sicherheitshinweis erneut, um über die Verwundbarkeit der Cisco Catalyst 4500E Supervisor Engine 8-E durch die Schwachstelle zu informieren. In der Bug-ID CSCvd48893 werden mittlerweile weitere Versionen als 'Known Fixed Releases' aufgeführt. Zur Ermittlung, ob die eingesetzte Cisco IOS oder Cisco IOS XE Version von der Schwachstelle betroffen ist oder nicht, empfiehlt sich weiterhin die Verwendung des IOS Software Checker Tools.
Version 7 (2019-04-18 12:49)
In einer Aktualisierung des referenzierten Sicherheitshinweises gibt Cisco an, dass der Programmcode zur Ausnutzung der Schwachstelle (Exploit) seit April 2017 öffentlich bekannt ist. Laut Cisco Product Security Incident Response Team (PSIRT) wird die Schwachstelle aktiv ausgenutzt. Das hauseigene Sicherheitsteam Cisco TALOS informiert in einem Blogeintrag über die zugehörige Kampagne 'Sea Turtle'.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Eine Schwachstelle in Cisco IOS und IOS XE ermöglicht einem entfernten, nicht authentisierten Angreifer Programmcode mit erhöhten Berechtigungen zur Ausführung zu bringen, wodurch er die Kontrolle über ein System vollständig erlangen kann, oder durch das Neustarten eines Gerätes einen Denial-of-Service (DoS)-Zustand zu bewirken.

Cisco bestätigt die Schwachstelle für diverse Produkte u.a. für eine Reihe von Cisco Catalyst und Cisco Industrial Ethernet Switches. In der Sicherheitsmeldung gibt Cisco an, dass derzeit keine Sicherheitsupdates verfügbar sind. Unter der zugehörigen Bug-Id 'CSCvd48893' wird allerdings die Cisco IOS Version 15.2(5.5.15i)E2 als 'Fixed Release' aufgeführt.

Zusätzlich veröffentlicht Cisco die Cisco IPS Signature 7880-0 und Snort SIDs 41909 sowie 41910, über die ein Versuch der Ausnutzung der Schwachstelle erkannt werden kann.

Schwachstellen:

CVE-2017-3881

Schwachstelle in Cisco IOS und IOS XE ermöglicht Übernahme des Systems

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.