Hacker greifen Ciscos Netzwerk-Hardware an

Cisco erlaubt es, die Kernsoftware seiner Netzwerkgeräte manuell zu aktualisieren. Die Funktion ist von Cisco gewollt und wird von Administratoren auch rege benutzt. Hacker haben nun aber einen Weg gefunden, das Feature zu missbrauchen: Angreifer schafften es laut Cisco, Administratorenrechte zu erlangen und das wichtige Tool "IOS ROMMON" mit schädlichem Code zu ersetzen.

ROMMON ist Ciscos Bootstrap-Programm und steht für ROM Monitor. Die in Netzwerkgeräten verbaute Anwendung wird benötigt, um beim Bootvorgang die Hardware zu initialisieren und die IOS-XR-Firmware von Cisco zu starten. Gelingt es einem Hacker, ROMMON über die Update-Funktion mit einer schädlichen Software zu überschreiben, kann er das Verhalten der Hardware manipulieren. Dies funktioniere auch nach einem Neustart, schreibt Cisco in einem Security Alert auf seiner Website.

Was sollen Administratoren nun tun? Cisco werde dem Angriff keine CVE-Nummer (Common Vulnerabilities and Exposures) zuteilen, mit der die Sicherheitslücke eindeutig identifizierbar wäre. Als Grund gibt Cisco an, dass die Angreifer zwar eine Standardfunktion in Ciscos Hardware missbrauchen, dafür aber keine neue Schwachstelle ausnutzen würden. Der Angriff funktioniere nur, wenn die Hacker vorher Administratorenrechte oder einen physischen Zugang zum Gerät erlangen.

Cisco stellt Lesematerial zur Verfügung, das erklären soll, wie Netzwerkgeräte vor solchen Attacken geschützt werden können. Das Unternehmen hat folgende drei Dokumente online bereitgestellt: Cisco IOS Software Integrity Assurance, Cisco Guide to Harden IOS Devices, Telemetry-Based Infrastructure Device Integrity Monitoring. Wer Fragen habe, könne auch den Support kontaktieren, schreibt Cisco.