Cisco heeft een ernstige beveiligingsfout gedicht in de web-gebaseerde gebruikersinterface van zijn IOS XE-software. De fout laat iedereen op het internet inbreken op interne netwerken, zonder dat hier een wachtwoord voor nodig is. Het bedrijf roept mensen op om de patch zo snel mogelijk te installeren.
Cisco IOS XE is de Linux-gebaseerde versie van het internetworking operating system (IOS) van het bedrijf, dat op veel enterprise-routers en Catalyst-switches gebruikt wordt. De fout treft volgens het bedrijf niet de IOS-, IOS XR- of NX-OS-varianten.
Aanval
De kwetsbaarheid wordt gevolgd als CVE-2019-1904. De fout kan misbruikt worden door een aanvaller op afstand, door een cross-site request forgery (CSRF) aanval te gebruiken op getroffen systemen. “De kwetsbaarheid is het gevolg van te weinig CSRF-beschermingen voor de web UI op een getroffen apparaat. Een aanvaller kan deze kwetsbaarheid misbruiken door de gebruiker van de interface over te halen om een malafide link aan te klikken”, aldus Cisco.
In een aanvalsscenario kan de exploit verstopt zijn in malafide advertenties. In een exploit kit kan het omgezet worden in een wapen. Cybercriminelen kunnen interne netwerken of administratoren aanvallen, zonder dat er alarmen af gaan. Dat maakt het misbruiken van de fout aantrekkelijk.
Een aanvaller die de fout met succes misbruikt, kan alle acties die hij wil uitvoeren met hetzelfde privilegeniveau als de getroffen gebruiker. Zijn dat dus administratieve privileges, dat kan de aanvaller de configuratie aanpassen, commando’s uitvoeren en een getroffen apparaat herladen.
Fout oplossen
De enige manier om de fout op te lossen, is door de updates van Cisco te installeren. De kwetsbaarheid werd ontdekt door onderzoekers van Red Balloon Security. Dat is hetzelfde bedrijf dat Thangrycat ontdekte, een ernstige kwetsbaarheid die de Trust Anchor-module van Cisco trof.
Het beveiligingsbedrijf vond ook een andere remote code execution-fout in de web-interface van IOS XE. Deze nieuwe fout heeft nog geen oplossing. Wel kan een aanval afgeslagen worden door de HTTP Server-functie uit te schakelen. Er is een exploit-code beschikbaar voor de IOS XE-kwetsbaarheid, maar volgens Cisco is er nog geen indicatie dat die code publiekelijk beschikbaar is.