Kritische Sicherheitslücke in Cisco IOS, Cisco IOS XE und Cisco IOS XR Software - aktiv ausgenützt, keine Patches verfügbar

20. September 2016

Beschreibung

Cisco hat ein Advisory zu einer kritischen Sicherheitslücke in Cisco IOS, Cisco IOS XE und Cisco IOS XR Software veröffentlicht. Die Lücke befindet sich im Code, der für den Internet Key Exchange version 1 (IKEv1) zuständig ist, und erlaubt es einem nicht authentifizierten Angreifer, durch ein speziell gestaltetes IKEv1-Paket, Speicherinhalte betroffenener Geräte auszulesen.

CVE-Nummer: CVE-2016-6415

Auswirkungen

Durch Ausnützen dieser Lücke kann ein Angreifer unter Umständen Konfigurationsdaten oder auch private Keys aus dem Gerätespeicher auslesen.
Dadurch wäre das Aufbrechen verschlüsselter Verbindungen möglich.

Der Sicherheitsforscher Mustafa Al-Bassam beschreibt in seinem Blog das Extrahieren privater Schlüssel.

Betroffene Systeme

Cisco-Produkte mit folgender Software sind von der Lücke betroffen, wenn sie zur Verwendung von IKEv1 konfiguriert sind:
  • Cisco IOS XR 4.3.x
  • Cisco IOS XR 5.0.x
  • Cisco IOS XR 5.1.x
  • Cisco IOS XR 5.2.x
  • Cisco IOS Software: Siehe Tabelle im Cisco-Advisory
  • Alle Versionen of Cisco IOS XE Software
Cisco PIX Firewalls (nicht mehr supported) können laut dem Advisory ebenfalls betroffen sein. Des Weiteren gibt Cisco dort Hinweise, wie man feststellen kann ob ein Device potentiell verwundbar ist, und verweist darüber hinaus auf den Cisco IOS Software Checker.

Abhilfe

Einspielen der Patches, sobald diese verfügbar sind. Bis dahin empfiehlt Cisco den Einsatz eines IPS/IDS um entsprechende Angriffe erkennen bzw. abwehren zu können.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Cisco Security Advisory (englisch)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1
Blog Post zu BENIGNCERTAIN (englisch)
https://musalbas.com/2016/08/18/equation-group-benigncertain.html