Cisco IOS-XE Sicherheitsluecke im Webserver

[Ranayna]

Moin zusammen,

offensichtlichnoch ganz Frisch, zumindest kann ich bei Heise und Co. noch nichts finden:
Es gibt wohl eine aktiv ausgenutzte Luecke im Webserver von IOS-XE. Es gibt noch keinen Fix!

https://sec.cloudapps.cisco.com/sec...dvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

Hoffentlich stellt es sich als nicht ganz so kritisch heraus, aber da schon im Advisory steht wie man eine Kompromittierung erkennt fuerchte ich uebeles.

 

[scooter010]

Wer lässt schon das Web-UI aus dem Internet aus erreichbar...?!
Oh, warte, zero-trust...?!

 

[yxcvb]

https://www.heise.de/news/Cisco-Sch...S-XE-erlaubt-Netzwerk-Uebernahme-9336068.html

Auch bei heise. Aber das kann doch gar nicht sein? Völlig unmöglich, das ist doch Linux und das ist doch so viel sicherer als Windows. Zumindest, wenn man den ganzen Linux-Jüngern glauben will. Aber das sind wohl doch eher Gläubige, und daher kann nicht sein, was nicht sein darf.

 

[0x8100]

Völlig unmöglich, das ist doch Linux und das ist doch so viel sicherer als Windows

klar, wenn der webserver eine lücke hat, ist das betriebssystem schuld...

 

[Ranayna]

Wer lässt schon das Web-UI aus dem Internet aus erreichbar...?!

Intern kann ja auch schon kritisch genug sein. Und nicht jede Firma die Cisco Switche einsetzt wird gross genug sein um alles segmentiert zu haben so das nur aus definierten Adminnetzen ein Zugriff moeglich ist.
Und solche Firmen sind es dann tendenziell ja auch, die den Webserver ueberhaupt aktiv haben, weil der "Maedchen fuer alles" Admin nicht die Zeit hat sich in die Verwendung der CLI einzuarbeiten.


@yxcvb: Vollkommen sinnentleertes Gerumpel was da von dir kommt. Sorry, anders kann ich das nicht ausdruecken ohne die Regeln zu verletzen.
IOS-XE mag ja auf einem Linux Kernel laufen, aber das was Cisco da dann oben draufgesetzt hat ist was eigenes, und viel wichtiger, das ist auch nicht Open Source.

 

[scooter010]

Intern kann ja auch schon kritisch genug sein.

Darum ging es mir nicht. Sorgen und Nöte kleiner und unterfinanzierter IT-Abteilungen sind mir bekannt.

Mir ging es darum, dass das Produktkonzept bzw. das Nutzungskonzept des großen Netzwerkherstellers Cisco nach wie vor und ausschließlich auf das mittlerweile als veraltet angesehene Perimeter-Schutz-Konzept ausgelegt ist.

In einer modernen Zero-Trust-Umgebung ist jedes Gerät darauf ausgelegt/auszulegen, dass es in einer nicht vertrauenswürdigen/als kompromittiert zu betrachtenden Umgebung betrieben wird. Ich lese den Text im Link jedoch so, dass das IOS-XE nicht für den Betrieb im Internet (und damit auch nicht für andere nicht vertrauenswürdige Netze gemäß dem Zero-Trust-Konzept) vorgesehen ist.

Wenn sogar gigantische Behörden oder gar ganze Nationen auf Zero-trust umstellen (USA), dass Cisco (selbst USA) es Jahre nach dem Start nicht geschafft hat, seine Produkte fit dafür zu machen, ist mal wieder ein Zeugnis dafür, das Cisco so eine Art IBM ist: "Niemand wird gefeuert, weil er Cisco kauft!"; darauf ruht sich dieses Unternehmen IMHO zu sehr aus.

Edit: OK, liegt vielleicht auch daran, dass Zero-Trust viel "Logik" und "Sicherheit" aus den Netzwerk-Appliances heraus holt/unnötigt macht und die eigentlichen (Mikro-)Services sich selbst um ihre Sicherheit kümmern müssen. Aber so schlecht ist das doch für Cisco gar nicht. Viele der Verkäufe sind doch IMHO "dumme" Switche und Router (ohne Sicherheitsapplliances, sofern man VLAN/VPN nicht als Sicherheitsfeature betrachtet, sondern als normale Netzwerkfunktionalität).

 

[Hammelkopp]

Um ein paar Punkte richtig zu stellen.

1. IOS-XE läuft auch auf Routern die sehr wohl im Internet hängen können.
2. Der HTTP(S) Server ist per Default ausgeschaltet.
3. Cisco gibt in seinem Hardening Guide vor, ungenutzte Dienste abzuschalten. Wer dies nicht beachtet, ist halt irgendwo selber schuld.
Wenn man das Gerät halt nicht per CLI administrieren kann oder will, kann man ja temporär den Webserver einschalten, seine Dinge tun und dann wieder abschalten (ja das muss man dann per CLI machen aber 3 Zeilen CLI kann man sich ja wohl merken)
4. Den Webserver kann man auch mit ner lokalen ACL versehen d.h. auch ohne Segmentierung kann man den Zugriff auf bestimmte IPs einschränken.

Grüße

 

[andy_m4]

Cisco gibt in seinem Hardening Guide vor, ungenutzte Dienste abzuschalten. Wer dies nicht beachtet, ist halt irgendwo selber schuld.

Na ja. Ne sicherheitsmäßig sinnvolle Vorgabe wäre einfach alles abgeschaltet auszuliefern und den User es anknipsen zu lassen, falls er es braucht.
Mal davon abgesehen das die Qualität der Software bei Cisco schon legendär schlecht ist. Ist ja beileibe nicht das erste Security-Problem, sondern die Fortsetzung einer lebendigen neverending story. Vielleicht sollten die mal über ein anderes Geschäftsfeld nachdenken. Denn IT-Produkte können die nachgewiesenermaßen nicht.

Insofern: Ja. Der Kunde hat schuld. Aber nicht, weil er vergessen hat was abzuschalten, sondern weil er nach Jahren des dauerhaften Versagens immer noch Cisco-Produkte einsetzt.

 

[Hammelkopp]

Na ja. Ne sicherheitsmäßig sinnvolle Vorgabe wäre einfach alles abgeschaltet auszuliefern

Siehe Punkt 2. Der HTTP(S) Server ist per Default AUSgeschaltet.

 

[andy_m4]

Macht es ja nicht besser. Wenn es nicht funktioniert und alles potentiell kaputt macht, sollten sie es halt nicht einbauen. Man stelle sich mal vor man hätte ein Auto bei dem ab und an die Bremsen versagen, wenn man das eingebaute Radio benutzt und der Hersteller aber nur lapidar in seines Guides empfiehlt das Radio besser nicht zu nutzen.

 

[Hammelkopp]

Der Vergleich hinkt. Der Webserver funktioniert. Man kann den Webserver ausschalten wenn man ihn nicht brauch. Das Gerät (Switch, Router) versagt auch nicht, wenn man den Webserver verwendet. Man kann (und sollte ihn auch per Hardening Guide) ihn sogar durch eine ACL absichern. Keine Ahnung wo jetzt dein Problem ist?! Und ein Hardening Guide ist alles andere - nur nicht lapidar. Keine Ahnung warum du so ein Dokument scheinbar nicht ernst nimmst. Best Practice Guides gibt es nicht ohne Grund.
Aber ist ok, du magst Cisco nicht - ganz einfach.
Da nützt alles diskutieren nichts.
Schönen Abend noch!

 

[andy_m4]

Der Webserver funktioniert.

Naja. Wenn er ne Sicherheitslücke darstellt und man ihn nicht ruhigen Gewissens einsetzen kann, dann bringt er nichts. Im Gegenteil. Er stellt ne potentielle Gefahr dar.

Das Gerät (Switch, Router) versagt auch nicht, wenn man den Webserver verwendet.

Das hab ich so auch nicht behauptet.
Verherrenderweise ist ja bei dem Angriff nicht nur der Webserver kaputt, sondern er beeinflusst ja auch vieles andere.
Das hab ich ja versucht mit meinem Vergleich darzustellen.

Keine Ahnung wo jetzt dein Problem ist?!

Das hab ich doch dargestellt.
Ich kann auch bestimmte Dinge nicht. Ich würde dann aber nie auf die Idee kommen irgendwie aus den Dingen die ich nicht kann ein Produkt zu machen und zu verkaufen.
Cisco kann keine sicheren IT-Produkte bauen, macht das aber trotzdem. Ein Problem hab ich damit nicht. Ich meide die Produkte einfach. Trotzdem darf man das ja wohl kritisieren.

Hardening Guide ist alles andere - nur nicht lapidar.

So hab ich das auch gar nicht gesagt. Ich finde es nur fragwürdig kaputte Features einzubauen und mich dann rauszureden mit "selbst schuld wenn ihr das benutzt".

Aber ist ok, du magst Cisco nicht - ganz einfach.

Das hat nichts mit nicht mögen zu tun. Nicht mögen, davon kann man reden wenn man über Kunst redet. Man kann ein Bild mögen oder nicht. Cisco liefert aber seit Jahren einfach löchrige Produkte ab. Das ist ein objektiver Tatbestand und kein subjektives Empfinden.

Ich könnte eher behaupten, das Du ein Fanboy bist, der Cisco hinterherrennt, obwohl die am laufenden Band versagen.

 

[Hammelkopp]

Ich bin bestimmt kein Fanboy. Und wenn sie laufend versagen würden wie du behauptet, wären sie nicht da wo sie heute stehen. Das kannste wohl kaum weg diskutieren.

Ich muss halt viel damit arbeiten. Das QA ein riesen Thema bei Cisco ist, ist mir auch klar und es gibt wirklich Produkte die unter aller Sau sind!

Genauso gibt es aber auch viele Produkte die super stabil und performant ihre Arbeit verrichten. Und wenn man das, was in den Guides steht auch beherzigt, dann sind sie auch "ziemlich" sicher (kann dir natürlich nie einer zu 100% garantieren)

Es ist aber auch so, dass es einfach viele Kunden gibt und somit gibt's auch viele Bugs und viele bekannte Schwachstellen. Is ähnlich wie bei Windows. Viele Leute nutzen es, es wird somit viel angegriffen und es treten viele Bugs auf. Is das gut - nein. Stellt Cisco deswegen seit Jahren nur Schund her. Nein. Sind andere Hersteller besser - vielleicht aber es gibt genauso schwerwiegende Bugs / Schwachstellen von Fortinet, Extreme, HP, Juniper und und und. Diese werden dann halt nicht immer von Medien gleich aufgenommen oder verbreitet. Wenn man ziemlich weit oben ist, bekommen solche Themen halt auch immer viel Aufmerksamkeit.

Hier mal ein paar Schwachstellen anderer Hersteller (nur für den Fall)

https://www.fortiguard.com/psirt --> hier mal auf critical filtern.

https://supportportal.juniper.net/s...-preAuth-Remote-Code-Execution?language=en_US
--> auch nen Webserver Thema mit 9.8 aus 2023

(2 min Google)

Zum Thema Hardening Guide. Man baut ja nicht bewusst kaputte Features ein. Auch wenn der Server heile wäre, gilt die gleiche Aussage. Alles was ich nicht brauche abschalten. Btw - das gilt für jedes Betriebssystem. Egal ob Windows, Linux oder IOS(-XE). Das ist kein rausreden - das ist ein Sicherheitsgrundsatz.