Der Hersteller Cisco veröffentlichte Informationen zu einer Schwachstelle in der Cisco Enterprise NFV Infrastructure Software (NFVIS), welche es entfernten, nicht authentifizierten Angreifern ermöglicht, administrativen Zugriff auf einem betroffenen Gerät zu erhalten.
Mithilfe einer Sicherheitslücke in der TACACS Authentifizierungs-, Autorisierungs- und Abrechnungsfunktion (AAA) der NFVIS könnte ein Angreifer demnach aus der Ferne die Authentifizierung umgehen und sich als Administrator bei einem betroffenen Gerät anmelden. Diese Sicherheitsanfälligkeit ist auf eine unvollständige Validierung von Benutzereingaben zurückzuführen, die an ein Authentifizierungsskript übergeben werden. Angreifende können diesen Sachverhalt ausnutzen, indem Parameter in eine Authentifizierungsanforderung eingefügt werden. Mit einem CVSS-Score von 9.8 gilt diese Schwachstelle (CVE-2021-34746) als “kritisch”. Betroffen sind nach Angaben des Herstellers Cisco Enterprise NFVIS mit der Version 4.5.1, wenn TACACS als externe Authentifizierungsmethode aktiviert wurde.
Bewertung
Aufgrund des hohen Marktanteils von Cisco im Netzwerk-Bereich im Allgemeinen muss davon ausgegangen werden, dass auch das hier betroffene Produkt in zahlreichen Organisationen in Deutschland zum Einsatz kommt. Dem BSI liegen aktuell noch keine Informationen einer aktiven Ausnutzung der Schwachstelle vor. Aufgrund des vor Kurzem veröffentlichten PoC und der Kritikalität sowie der Gegebenheit der Schwachstelle, ist die kurzfristige Erstellung von schadhaften Anwendungen basierend auf dem öffentlichen PoC nicht auszuschließen.
Maßnahmen
Cisco hat Software-Updates veröffentlicht, die diese Sicherheitsanfälligkeit beheben. Zielführende Mitigationsmaßnahmen sind zum aktuellen Zeitpunkt nicht bekannt, weshalb das Einspielen des bereitgestellten Patches priorisiert werden sollte. Empfehlungen zum Ausrollen von Sicherheitsupdates im Allgemeinen können dem BSI IT-Grundschutz entnommen werden.
www.bsi.bund.de