Kritische Schwachstellen in Cisco Switches
Sachverhalt
Am 17. Mai 2023 veröffentlichte der weltweite Marktführer im Bereich Netzwerkprodukte Cisco ein
Advisory zu Schwachstellen in verschiedenen Produktfamilien von Switches [CISCO2023].
Die gefundenen Schwachstellen betreffen die web-basierte Benutzeroberfläche zur Verwaltung mehrerer
Switches und wurden nach dem Common Vulnerability Scoring System (CVSS) v.3.1 als „kritisch“ eingestuft.
Es handelt sich um folgende Schwachstellen:
- CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 und CVE-2023-20189: Erlauben einem nichtauthentifizierten entfernten Angreifer die Ausführung von beliebigem Programmcode mit rootRechten durch unzureichende Prüfung von Anfragen, die zu Speicherüberläufen (CWE-120) in Cisco Small Business Series Switches führen. Der Angreifer muss zur Ausnutzung der Schwachstellen
eine präparierte Anfrage an die web-basierte Benutzeroberfläche schicken. Die genannten
Sicherheitslücken werden von Cisco mit einem CVSS v.3.1 Score von 9.8 bewertet. - Es existieren weitere Schwachstellen, die mit diesem Patch geschlossen werden, die unter anderem
Denial-of-Service Angriffe ermöglichen.
Von den Schwachstellen sind folgende Produktreihen betroffen: - 250 Series Smart Switches
- 350 Series Managed Switches
- 350X Series Stackable Managed Switches
- 550X Series Stackable Managed Switches
- Business 250 Series Smart Switches
- Business 350 Series Managed Switches
- Small Business 200 Series Smart Switches
- Small Business 300 Series Managed Switches
- Small Business 500 Series Stackable Managed Switches
Die Reihen 220 Series Smart Switches und Business 220 Series Smart Switches sind nicht von den Schwachstellenbetroffen.
Aufgrund des abgelaufenen Supports wird es für folgende Produktreihen keine Updates geben: - Small Business 200 Series Smart Switches
- Small Business 300 Series Managed Switches
- Small Business 500 Series Stackable Managed Switches
Bewertung
Die große Verbreitung von Netzwerkprodukten der Firma Cisco stellt nach Einschätzung des BSI in Verbindung mit diversen „kritisch“ eingestuften Sicherheitslücken ein erhöhtes Bedrohungspotential für Organisationen in Deutschland dar.
Die Schwachstellen CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 und CVE-2023-20189 wurden von Cisco als kritisch eingestuft und sollten schnellstmöglich behandelt werden.
Eine kurzfristige Ausnutzung der Schwachstellen kann nicht ausgeschlossen werden, da Cisco davon berichtet, dass Proof-of-Concept Exploit-Code verfügbar ist.
Durch die zentrale Bedeutung der betroffenen Komponenten für IT-Netzwerke können Verfügbarkeit, Vertraulichkeit und Integrität in Institutionen kompromittiert werden.
Maßnahmen
Zunächst sollten die von Cisco Systems veröffentlichten Informationen ausführlich gesichtet und die genannten Komponenten mit der eigenen Inventarliste abgeglichen werden, um das Ausmaß der eigenen Betroffenheit zu identifizieren.
Weiterhin sollten die vom Hersteller bereitgestellten Patches zeitnah installiert werden, um einer möglichen Ausnutzung entgegen zu wirken. Es stehen keine Workarounds für die veröffentlichten Schwachstellen zur Verfügung, weshalb ein Schließen der Lücken nur durch das Einspielen der Patches möglich ist.
Vom Einsatz der nicht mehr unterstützten Produkte wird wegen der fehlenden Versorgung mit Sicherheitspatches abgeraten.
Grundsätzliche Empfehlungen zum sicheren Umgang mit Switches hat das BSI im IT-Grundschutz NET.3.1
zusammengefasst [BSIGS2021].
Links
Cisco Security Advisories https://sec.cloudapps.cisco.com/security/center/content/
CiscoSecurityAdvisory/cisco-sa-sg-web-multi-S9g4Nkgv