Forscher: Cisco-Appliance geknackt und Doom darauf installiert 

B2B Cyber Security ShortNews

Beitrag teilen

Der Sicherheitsforscher Aaron Thacker wollte eigentlich nur aus einer Cisco-Appliance einen Server basteln. Dabei entdeckte er eine Schwachstelle in der webbasierten Verwaltungsschnittstelle des Cisco Integrated Management Controller. Daraufhin installierte er Doom und spielte es zur Demo in der Verwaltungskonsole.

Der Hack gelang dem Security Forscher Aaron Thacker zwar nur auf einer Cisco C195  Email Security Appliance, aber die Schwachstelle betrifft eine ganze Reihe von Cisco-Geräten. Thacker wollte nur aus der Appliance einen Server bauen und hat beim Umbau die Schwachstelle entdeckt. Er startete dann eine Angriffskette:

Anzeige
  • Er änderte das BIOS, um CIMC dem Netzwerk zugänglich zu machen.
  • Er griff danach das CIMC-Verwaltungssystem über das Netzwerk an um über eine Sicherheitslücke bei der Remote-Befehlsausführung (CVE-2024-20356) den Root-Zugriff auf eine kritische Komponente im System zu erhalten.
  • Und schließlich konnte die sichere Startkette kompromittiert werden, indem die Geräte-PID so geändert wurde, dass andere sichere Startschlüssel verwendet werden konnten.

Schwachstelle ausgenutzt – Doom installiert und gespielt

🔎 Security-Forscher Aaron Thacker knackte die Cisco Appliance und installierte Doom in der Verwaltungskonsole als Demo (Bild: Aaron Thacker, Doom Copyrights by ID Software)

Der Forscher hatte Cisco natürlich vorab informiert und ein entsprechendes Veröffentlichungsdatum festgelegt. Cisco hat die Zeit genutzt und entsprechende Updates für die gesamte Produktlinie bereitgestellt. Auf einer Security-Anweisung listet Cisco alle Geräte einzeln auf, die von der Schwachstelle betroffen sind. Diese hat immerhin einen CVSS-Wert 8.7 von 10 und gilt somit als hochgefährlich.

Cisco benennt die Sicherheitslücke „Sicherheitslücke bei Befehlseinschleusung in der webbasierten Verwaltungsschnittstelle des Cisco Integrated Management Controller“ Eine Sicherheitslücke in der webbasierten Verwaltungsschnittstelle des Cisco Integrated Management Controller (IMC) könnte einem authentifizierten Remote-Angreifer mit Administratorrechten ermöglichen , Befehlsinjektionsangriffe auf einem betroffenen System durchzuführen und seine Rechte auf Root-Rechte zu erhöhen .

Diese Sicherheitslücke ist auf eine unzureichende Validierung der Benutzereingaben zurückzuführen. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, indem er manipulierte Befehle an die webbasierte Verwaltungsoberfläche der betroffenen Software sendet. Ein erfolgreicher Exploit könnte es dem Angreifer ermöglichen, seine Rechte auf Root zu erhöhen .

Cisco stellt Updates bereit

Cisco stellt für die Schwachstelle mit der CVE-Kennung CVE-2024-20356 auf seiner Webseite entsprechende Anweisungen und auch Updates bereit. Da die Schwachstelle als hochgefährlich gilt, empfiehlt Cisco ein sofortiges Update.

Mehr bei Cisco.com

 


Über Cisco

Cisco ist das weltweit führende Technologie-Unternehmen, welches das Internet ermöglicht. Cisco eröffnet neue Möglichkeiten für Applikationen, die Datensicherheit, die Transformation der Infrastruktur sowie die Befähigung von Teams für eine globale und inklusive Zukunft.


 

Passende Artikel zum Thema

Nordkorea: Cyberspionage bedroht internationale Sicherheit

In den letzten Jahren hat Nordkorea seine Fähigkeiten in der Cyberspionage enorm ausgebaut und gezielte Hackerangriffe auf internationale Unternehmen und ➡ Weiterlesen

Fünf lokale Schwachstellen in needrestart entdeckt

Ein Anbieter von Cloud-basierten IT-, Sicherheits- und Compliance-Lösungen, gab bekannt, dass die Qualys Threat Research Unit (TRU) fünf Local Privilege ➡ Weiterlesen

APT-Gruppe TA397 attackiert Rüstungsunternehmen

Security-Experten haben einen neuen Angriff der APT-Gruppe TA397  – auch unter dem Namen „Bitter“ bekannt – näher analysiert. Start war ➡ Weiterlesen

Security-Breaches bei Firewall-Geräten von Palo Alto Networks

Am 18. November 2024 gab Palo Alto Networks zwei Schwachstellen (CVE-2024-0012 und CVE-2024-9474) in Palo Alto Networks OS (PAN-OS) bekannt. ➡ Weiterlesen

Schwachstellen im Cloud-Management – Zugriff auf 50.000 Geräte 

Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben insgesamt zehn Schwachstellen in der Reyee-Cloud-Management-Plattform des chinesischen Netzwerkanbieters Ruijie Networks ➡ Weiterlesen

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen