Cisco veröffentlichte am 13.3.24 ein Security Advisory zur SSH-Client-Funktion der Cisco IOS XR-Software für Cisco 8000 Series-Routern und Cisco Network Convergence System (NCS) 540 und 5700 Series-Routern. Die gefundenen Schwachstellen könnten es einem authentifizierten, lokalen Angreifer ermöglichen, die Privilegien auf einem betroffenen Gerät zu erhöhen, oder auf diverse Art DDOS Angriffe zu starten.
Die gravierendste Sicherheitslücke CVE-2024-20320 ist auf eine unzureichende Validierung von Argumenten zurückzuführen, die mit dem SSH-Client-CLI-Befehl übergeben werden. Ein Angreifer mit niedrigen Zugriffsrechten auf ein betroffenes Gerät könnte diese Schwachstelle ausnutzen, indem er einen manipulierten SSH-Client-Befehl an die CLI sendet. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, die Privilegien auf dem betroffenen Gerät auf Root-Ebene zu erhöhen.
Die Schwachstellen wurden von Cisco mit folgender Schweregrad-Klassifizierung veröffentlicht:
Hohe Schweregrad:
- CVE-2024-20320 (CVSS 7.8): Diese Schwachstelle ermöglicht es einem Angreifer mit niedrigen Privilegien, die volle Kontrolle (Root-Zugriff) auf das Gerät zu erlangen. Dies ist äußerst kritisch, da es zu einem vollständigen Kompromittieren des Systems führen kann.
- CVE-2024-20318 (CVSS 7.4): Diese Schwachstelle kann ausgenutzt werden, um die Layer-2-Dienste zum Absturz zu bringen, was möglicherweise zu einem Denial-of-Service (DoS)-Angriff führt und das Netzwerk unzugänglich macht.
- CVE-2024-20327 (CVSS 7.4): Diese Schwachstelle kann ebenfalls ausgenutzt werden, um einen DoS-Angriff auf betroffene ASR 9000 Series Router durchzuführen.
Mittlerer Schweregrad:
- CVE-2024-20262 (CVSS 6.5): Diese Schwachstelle kann ausgenutzt werden, um einen DoS-Angriff auf die Secure Copy Protocol (SCP) und SFTP-Dienste durchzuführen.
- CVE-2024-20315 & CVE-2024-20322 (CVSS 5.8): Diese Schwachstellen ermöglichen es Angreifern, Zugriffskontrolllisten (ACLs) für MPLS- und Pseudowire-Schnittstellen zu umgehen und möglicherweise unbefugten Zugriff auf das Netzwerk zu erhalten.
- CVE-2024-20266 (CVSS 5.3): Diese Schwachstelle kann ausgenutzt werden, um den DHCP-Server zum Absturz zu bringen und so einen DoS-Angriff zu verursachen.
- CVE-2024-20319 (CVSS 4.3): Diese Schwachstelle ermöglicht es Angreifern, bestimmte Zugriffskontrollen auf das Simple Network Management Protocol (SNMP) zu umgehen und möglicherweise unbefugten Zugriff auf Informationen zu erlangen.
Cisco hat Sicherheitspatches veröffentlicht, um diese Schwachstellen zu beheben. Es ist dringend ratsam, alle betroffenen Geräte unverzüglich zu patchen, um die Risiken zu minimieren. Darüber hinaus wird empfohlen, den Zugriff auf die CLI und Netzwerkgeräte nur auf autorisiertes Personal zu beschränken und Sicherheitsmaßnahmen zu implementieren, um Netzwerkaktivitäten auf verdächtiges Verhalten zu überwachen, das auf Exploit-Versuche hinweisen könnte. Weitere Informationen finden sich in der offiziellen Cisco-Sicherheitsmitteilung.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: