Das BSI warnt vor einer aktiv ausgenutzten Schwachstelle in der Cisco Web UI von IOS XE. Die Sicherheitslücke CVE-2023-20198 hat den höchsten CVSS-Wert von 10.0 und ist somit kritisch. Viele Switches, Router und WLAN Controller sind in Gefahr.
Am 16. Oktober veröffentlichte Cisco ein Advisory zu einer ungepatchten und aktiv ausgenutzten Schwachstelle in der Web UI von IOS XE. Die Schwachstelle mit der Kennung CVE-2023-20198 ermöglicht es, entfernten, nicht-authentifizierten Angreifenden neue Accounts (mit Level 15 Zugriffsrechten) auf dem betroffenen System anzulegen. Angreifende sind somit in der Lage, Kontrolle über betroffene IOS XE Systeme zu erlangen und die Geräte zu kompromittieren, auf denen die Software eingesetzt wird (Switches, Router, WLAN Controller). Die Schwachstelle hat die höchste CVSS-Bewertung von 10.0 („kritisch“) erhalten.
Aktuell kein Patch verfügbar
Betroffen sind physische und virtuelle Geräte mit IOS XE, deren Weboberfläche (Web UI) aktiviert ist. Eine besondere Gefährdung besteht, sollten diese aus dem Internet erreichbar sein. Die Weboberfläche ist ein GUI-basiertes System-Management Tool zur Vereinfachung der Bereitstellung,
Inbetriebnahme und des Managements von Cisco IOS XE Systemen. Sie wird standardmäßig mit ausgeliefert und muss nicht explizit aktiviert oder installiert werden. Die Oberfläche stellt eine benutzerfreundliche Alternative zur Administration dar, ohne Command Line Interfaces verwenden zu müssen. Die Oberfläche sollte jedoch nach Empfehlung von Cisco nicht aus dem Internet oder nicht-vertrauenswürdigen Netzwerken erreichbar sein.
Security-Admin müssen reagieren
Ein Patch für die Schwachstelle steht bislang nicht zur Verfügung, Cisco verweist auf notwendige Mitigationsmaßnahmen. Ebenfalls hat Cisco eine aktive Ausnutzung der Schwachstelle beobachtet. In einem Beitrag von Cisco Talos wird berichtet, dass die ersten Angriffe auf die Schwachstelle bereits am 18. September stattfanden.
IT-Sicherheitsverantwortliche sollten schnellstmöglich für ihre Cisco IOS XE Instanzen prüfen, ob diese die Weboberfläche aktiviert haben und falls dies der Fall ist, sicherstellen, dass diese nur aus vertrauenswürdigen Netzwerken erreichbar oder deaktiviert ist. Ob die Weboberfläche aktiviert ist, kann mit Hilfe von diversen Befehlen geprüft werden, die das BSI in seiner Sicherheitswarnung aufführt.
Mehr bei BSI.Bund.de
Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.