Die NSA, das FBI, CISA und der Hersteller Cisco Systems selbst warnen vor der Ausnutzung einer seit 2017 bekannten Schwachstelle (CVE-2017-6742) in der SNMP-Implementierung (Simple Network Management Protocol) in den Netzwerkbetriebssystemen IOS und IOS-XE. Diese kommen in Routern und Switchen zum Einsatz. Der Hersteller weist der Schwachstelle die Priorität „High“ zu. Quelle der Angriffe soll die APT28-Gruppe sein, die auch als Fancy Bear bekannt ist und der auch der Angriff auf den Deutschen Bundestag zugeschrieben wird. Diese soll Malware auf betroffenen Geräten installiert haben. Den Angreifern dient eine präparierte SNMP-Nachricht, die sie zur Ausführung von beliebigem Code auf den attackierten Geräten nutzen. Das verschafft ihnen einen Vollzugriff auf die Geräte. Sie müssen dazu bei Versionen bis SNMPv2c lediglich im Besitz des passenden read-only Community Strings sein. Bei diesen Versionen werden die Community Strings im Klartext übertragen. Bei SNMPv3 müssten immerhin Benutzername und Kennwort bekannt sein, außerdem besteht in den neueren Versionen die Möglichkeit einer verschlüsselten Übertragung. Cisco hatte bereits 2017 Patches veröffentlicht. Betroffen sind Systeme, die eine vulnerable Version einsetzen und die folgenden Management Information Bases (MIB) aktiviert haben:
- ADSL-LINE-MIB
- ALPS-MIB
- CISCO-ADSL-DMT-LINE-MIB
- CISCO-BSTUN-MIB
- CISCO-MAC-AUTH-BYPASS-MIB
- CISCO-SLB-EXT-MIB
- CISCO-VOICE-DNIS-MIB
- CISCO-VOICE-NUMBER-EXPANSION-MIB
- TN3270E-RT-MIB
Diese sind in der Standardkonfiguration von SNMP aktiviert, insofern das Gerät das jeweilige Feature unterstützt. Über den CLI-Befehl show snmp mib
im privilegierten EXEC-Modus können Kunden die aktiven MIBs abfragen. Die betroffenen Versionen lassen sich dem Security Advisory des Herstellers, beziehungsweise den darin referenzierten Bug-IDs entnehmen. Neben dem Update der betroffenen Systeme werden noch weitere Gegenmaßnahmen empfohlen. Darunter unter anderem Folgende:
- Deaktivierung SNMP (falls nicht für das Management oder Monitoring erforderlich)
- Verwendung von verschlüsseltem SNMPv3 mit sicheren Kennwörtern
- Einsatz einer dedizierten SNMP-View zur Deaktivierung der Erreichbarkeit der betroffenen MIBs
- Einschränkung der Erreichbarkeit des SNMP-Dienstes
Betroffene Kunden sollen sowohl IOS/IOS-XE als auch das ROMMON-Image mit solchen von der Webseite von Cisco ersetzen, anschließend die Checksumme prüfen und alle genutzten Schlüssel widerrufen und neu erstellen. Cisco stellt auch Informationen zur Prüfung der Validität der installierten Images bereit. Auch zuletzt wurden wieder neue Schwachstellen in IOS bekannt.