Eine Schwachstelle in Smart Install, einem Plug&Play-Dienst zur Fernkonfiguration, dient Angreifern derzeit als Angriffspunkt auf Cisco-Switches. Das geht übereinstimmend aus Blogeinträgen von Ciscos Talos Intelligence Group und dem Anti-Viren-Hersteller Kaspersky hervor. Das Ausmaß der Angriffe ist bislang unklar; die Sicherheitsforscher von Talos wollen unter Verwendung der Suchmaschine Shodan jedoch mehr als 168.00 potenziell angreifbare Geräte entdeckt haben.

Talos vermutet staatlich gesponserte Akteure hinter den Angriffen, die das Ziel verfolgen, die verwundbaren Switches systematisch vom Netz zu nehmen. Kasperskys Analysen zufolge zielen die Angreifer dabei vor allem auf die russische Internet-Infrastruktur ab: Das Smart-Install-Protokoll werde missbraucht, um Zugriff zu den Geräten zu erlangen und anschließend eine darauf befindliche Konfigurationsdatei zu verändern. Ein Screenshot des AV-Herstellers zeigt offenbar den Inhalt einer solchen Datei: "Don't mess with our elections", gefolgt von dem Kürzel "JHT", steht dort über einer ASCII-Darstellung der US-amerikanischen Flagge.

Smart Install schon länger eine potenzielle Bedrohung

Verwundbar sind laut Talos prinzipiell alle Cisco-Switches, auf denen Smart Install aktiv ist. Die gefundenen 168.000 Geräte stellen laut den Forschern allerdings schon eine "Verbesserung" gegenüber einer ähnlichen, 2016 durchgeführten Online-Suche mit damals 251.000 Treffern dar.

Bereits im Februar 2017 beschrieb Cisco in einem Sicherheitshinweis mehrere mögliche Angriffsszenarien über den Plug&Play-Dienst. Paradoxerweise wurde dieser damals nicht als "verwundbar" eingestuft – der Hinweis hatte vielmehr informativen Charakter. Dennoch veröffentlichte der Hersteller aber ein Tool, das Admins dabei helfen sollte festzustellen, ob das Smart-Install-Protoll auf ihren Geräten aktiviert war. Admins, die den Dienst nicht verwendeten, riet er zu dessen Deaktivierung.

Da ein wirklicher Warnhinweis jedoch ausblieb, blieb Smart Install auf vielen Switches aktiv – teils mit verheerenden Folgen: Im November 2017 entdeckten heise-Security-Leser auf einem Server mehrere hundert Konfigurations-Dateien für Cisco-Switches, die offenbar mit einem öffentlich verfügbaren Exploit-Tools für Smart Install abgezogen worden waren.

Smart Install deaktivieren

Erst Ende März dieses Jahres hat Cisco als Reaktion auf einen Proof-of-Concept eine andere, nicht mit den aktuellen Angriffen in Verbindung stehende Schwachstelle in Smart Install geschlossen.

Der Hersteller rät nun erneut zum Deaktivieren des Smart-Install-Clients auf allen Switches, auf denen er nicht benötigt wird. Details zur Vorgehensweise sind dem Blogeintrag von Talos (Abschnitt "Mitigations") zu entnehmen. (ovw)