Zwei gravierende Sicherheitslücken hat Cisco in seinen virtuellen Sicherheits-Gateways geschlossen. Angreifer können aus der Ferne bei der Web Security Virtual Appliance (WSAv), der Security Management Virtual Appliance (SMAv) und der Email Security Virtual Appliance (ESAv) beliebigen Schadcode ausführen und die virtuelle Maschine übernehmen. Admins sollten die von Cisco bereitgestellten Patches möglichst schnell einspielen, da es keine Möglichkeit gibt, die Sicherheitslücken einzuschränken.

Cisco verwendet Standard-SSH-Schlüssel, die immer Zugriff auf die entsprechenden virtuellen Maschinen haben. Dadurch sind die Lücken entstanden. Angreifer können sich als Benutzer root mit vollen Systemrechten einloggen, indem sie den entsprechenden geheimen Schlüssel extrahieren. Zudem können die Angreifer mit Zugriff auf eins der Gateways auch die anderen Gateways im Netz angreifen, in dem sie sich als eine der WSAv-, ESAv- oder SMAv-Appliances ausgeben, denn auch die Host-Keys sind alle gleich. So kann der Datenverkehr als Man-in-the-Middle abgefangen werden. Sämtliche virtuelle Cisco-Gateways können in einem Netz in Kombination der beiden Lücken gekapert werden.

Ciscos virtuelle Gateways stellen eine Alternative zu Hardware-Appliances dar. Sie laufen auf einem VMware-, KVM oder UCS-Hypervisor und können so auf generischer Hardware betrieben und flexibler eingesetzt werden.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE