Der Sicherheitsforscher Aaron Thacker wollte eigentlich nur aus einer Cisco-Appliance einen Server basteln. Dabei entdeckte er eine Schwachstelle in der webbasierten Verwaltungsschnittstelle des Cisco Integrated Management Controller. Daraufhin installierte er Doom und spielte es zur Demo in der Verwaltungskonsole.
Der Hack gelang dem Security Forscher Aaron Thacker zwar nur auf einer Cisco C195 Email Security Appliance, aber die Schwachstelle betrifft eine ganze Reihe von Cisco-Geräten. Thacker wollte nur aus der Appliance einen Server bauen und hat beim Umbau die Schwachstelle entdeckt. Er startete dann eine Angriffskette:
- Er änderte das BIOS, um CIMC dem Netzwerk zugänglich zu machen.
- Er griff danach das CIMC-Verwaltungssystem über das Netzwerk an um über eine Sicherheitslücke bei der Remote-Befehlsausführung (CVE-2024-20356) den Root-Zugriff auf eine kritische Komponente im System zu erhalten.
- Und schließlich konnte die sichere Startkette kompromittiert werden, indem die Geräte-PID so geändert wurde, dass andere sichere Startschlüssel verwendet werden konnten.
Schwachstelle ausgenutzt – Doom installiert und gespielt
🔎 Security-Forscher Aaron Thacker knackte die Cisco Appliance und installierte Doom in der Verwaltungskonsole als Demo (Bild: Aaron Thacker, Doom Copyrights by ID Software)
Der Forscher hatte Cisco natürlich vorab informiert und ein entsprechendes Veröffentlichungsdatum festgelegt. Cisco hat die Zeit genutzt und entsprechende Updates für die gesamte Produktlinie bereitgestellt. Auf einer Security-Anweisung listet Cisco alle Geräte einzeln auf, die von der Schwachstelle betroffen sind. Diese hat immerhin einen CVSS-Wert 8.7 von 10 und gilt somit als hochgefährlich.
Cisco benennt die Sicherheitslücke “Sicherheitslücke bei Befehlseinschleusung in der webbasierten Verwaltungsschnittstelle des Cisco Integrated Management Controller” Eine Sicherheitslücke in der webbasierten Verwaltungsschnittstelle des Cisco Integrated Management Controller (IMC) könnte einem authentifizierten Remote-Angreifer mit Administratorrechten ermöglichen , Befehlsinjektionsangriffe auf einem betroffenen System durchzuführen und seine Rechte auf Root-Rechte zu erhöhen .
Diese Sicherheitslücke ist auf eine unzureichende Validierung der Benutzereingaben zurückzuführen. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, indem er manipulierte Befehle an die webbasierte Verwaltungsoberfläche der betroffenen Software sendet. Ein erfolgreicher Exploit könnte es dem Angreifer ermöglichen, seine Rechte auf Root zu erhöhen .
Cisco stellt Updates bereit
Cisco stellt für die Schwachstelle mit der CVE-Kennung CVE-2024-20356 auf seiner Webseite entsprechende Anweisungen und auch Updates bereit. Da die Schwachstelle als hochgefährlich gilt, empfiehlt Cisco ein sofortiges Update.
Mehr bei Cisco.com
Über Cisco Cisco ist das weltweit führende Technologie-Unternehmen, welches das Internet ermöglicht. Cisco eröffnet neue Möglichkeiten für Applikationen, die Datensicherheit, die Transformation der Infrastruktur sowie die Befähigung von Teams für eine globale und inklusive Zukunft.