Kritische Schwachstelle in Ciscos Wireless Controller
Cisco hat eine schwerwiegende Sicherheitslücke in seiner IOS-XE-Software für Wireless LAN Controller offengelegt. Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, beliebige Dateien hochzuladen und mit Root-Rechten Befehle auszuführen. Betroffen sind diverse Catalyst 9800-Modelle, sofern eine bestimmte Funktion aktiviert ist.
In einer aktuellen Sicherheitswarnung warnt Cisco vor einer kritischen Schwachstelle in der "Out-of-Band Access Point (AP) Image Download"-Funktion seiner IOS-XE-Software für Wireless LAN Controller (WLCs). Die Sicherheitslücke wurde mit einem CVSS-Score von 10.0 bewertet und basiert auf einem fest codierten JSON Web Token im System und kann von Angreifern ausgenutzt werden, um unbefugten Zugriff zu erlangen. Die Schwachstelle betrifft mehrere Catalyst 9800-Modelle sowie die Embedded Wireless Controller auf Catalyst APs, allerdings nur wenn die betroffene Funktion explizit aktiviert wurde, was standardmäßig nicht der Fall ist.
Die Ausnutzung der Sicherheitslücke erfolgt durch speziell präparierte HTTPS-Anfragen an die AP-Image-Download-Schnittstelle. Bei erfolgreicher Ausnutzung können Angreifer beliebige Dateien hochladen, Verzeichnistraversen durchführen und mit Root-Rechten Befehle auf dem betroffenen System ausführen. Dies stellt ein erhebliches Sicherheitsrisiko für betroffene Netzwerkinfrastrukturen dar, da es potentiell vollständige Kontrolle über den kompromittierten Controller ermöglicht.
Als Sofortmaßnahme empfiehlt Cisco dringend, die anfällige "Out-of-Band AP Image Download"-Funktion zu deaktivieren. Administratoren können mit dem Befehl "show running-config | include ap upgrade" überprüfen, ob ihre Geräte anfällig sind. Falls der Befehl "ap upgrade method https" zurückgibt, ist die Funktion aktiviert und das Gerät verwundbar. Nach der Deaktivierung dieser Funktion wird für AP-Image-Updates die sichere CAPWAP-Methode verwendet, ohne dass dies den AP-Client-Status beeinträchtigt.
Cisco hat bereits Software-Updates veröffentlicht, die diese Sicherheitslücke beheben. Kunden mit Serviceverträgen können die Sicherheitsupdates über ihre üblichen Update-Kanäle beziehen. Auch Kunden ohne Servicevertrag haben die Möglichkeit, kostenlose Updates zu erhalten, indem sie sich an das Cisco Technical Assistance Center (TAC) wenden. Zur Überprüfung der Betroffenheit und Identifizierung der entsprechenden Updates stellt Cisco den "Cisco Software Checker" zur Verfügung. Nach Angaben des Cisco Product Security Incident Response Teams (PSIRT) gibt es bislang keine bekannten öffentlichen Ausnutzungen dieser Schwachstelle.
