You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1315

[Cisco/CS-MARS] Mehrere Schwachstellen in CS-MARS
(2006-07-20 10:32:37.022728+00) Druckversion

Quelle: http://www.cisco.com/warp/public/707/cisco-sa-20060719-mars.shtml

Das Cisco Security Monitoring and Response System (CS-MARS) hat mehrere Schwachstellen, die unter anderem die Ausführung beliebigen Shell-Codes durch einen unauthentifizierten Angreifer über die Web-Schnittstelle der Applikation ermöglichen. Weiterhin ist bei Betrieb von CS-MARS in der voreingestellten Konfiguration das unberechtigte Auslesen von Netzwerkkonfigurationsdaten und Logs aus der zugrundeliegenden Datenbank möglich, was insbesondere bei gespeicherten Authentifizierungsdaten z.B. aktiver Netzwerkkomponenten zu weiteren Kompromittierungen führen kann. Schließlich können diverse Schwachstellen in der Shellumgebung CLI des CS-MARS dazu ausgenutzt werden, beliebigen Programmcode mit administrativen Privilegien auf dem beherbergenden Rechnersystem auszuführen.

Betroffene Systeme

  • CS-MARS der Versionen vor 4.2.1

Nicht betroffene Systeme

  • CS-MARS Version 4.2.1

Einfallstor

  • CVE-2006-3732:
    Datenbank-Benutzer mit Standard-Passwörtern
  • CVE-2006-3733:
    HTTP-Request an die Web-Benutzungsschnittstelle vpn CS-MARS
  • CVE-2006-3734:
    CLI-Kommando-Shell-Umgebung

Angriffsvoraussetzung
Ein Angreifer muss auf folgende Ressourcen Zugriff haben, um einen erfolgreichen Angriff durchzuführen:

  • CVE-2006-3732:
    Unauthorisierter Zugriff auf die Datenbank, je nach Konfiguration lokal oder über eine Netzwerkverbindung
  • CVE-2006-3733:
    Unauthentifizierter Zugriff auf die Web-Schnittstelle von CS-MARS
  • CVE-2006-3734:
    Authentifizierter Zugriff mit im Applikationskontext administrativen Privilegien auf die CSI-Kommando-Shell-Umgebung, jedoch keine administrativen Privilegien auf dem beherbergenden Rechnersystem

Auswirkung

  • CVE-2006-3732:
    Auslesen beliebiger Daten aus der CS-MARS-Datenbank
  • CVE-2006-3733:
    Ausführen beliebiger Shell-Kommandos mit administrativen Privilegien im Kontext von CS-MARS durch einen unauthentifizierten Benutzer über eine Netzwerkverbindung (remote user compromise)
  • CVE-2006-3734:
    Ausführen beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit administrativen Privilegien (local system compromise
In Kombination können die in den letzten beiden Abschnitten beschriebenen Schwachstellen zu einer Kompromittierung des beherbergenden Rechnersystems über eine Netzwerkverbindung ausgenutzt werden (remote system compromise).

Typ der Verwundbarkeit

  • unbekannt

Gefahrenpotential

  • CVE-2006-3732:
    Je nach der Qualität der gespeicherten Daten:
    hoch bis sehr hoch
  • CVE-2006-3733:
    hoch
  • CVE-2006-3734:
    hoch
Zu beachten ist hierbei, dass eine Kombination der in CSCse47646 sowie CSCsd29111, CSCsd31371, CSCsd31377, CSCsd31392 und CSCsd31972 beschriebenen Schwachstellen ein sehr hohes Gefahrenpotential darstellt.
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Das Netzwerk-Überwachungswerkzeug Cisco Security Monitoring, Analysis and Response System (CS-MARS) sammelt Log- und Konfigurationsdaten von verschiedenen Netzwerkkomponenten und korreliert diese zur Überwachung der Leistung und Sicherheit. CS-MARS kann automatisch Aktionen zur Linderung von Sicherheitsproblemen durchführen.

Beschreibung

  • CVE-2006-3732:
    CS-MARS verwendet zur Speicherung von Log- und Konfigurationsdaten der überwachten Netzkomponenten eine Oracle-Datenbank, die im Lieferumfang enthalten ist. Die Datenbank enthält verschiedene voreingestellte Konten, die bekannte Passwörter besitzen. Diese Konten können von einem Angreifer missbraucht werden, Daten aus der Datenbank auszulesen. Typischerweise enthält diese neben ggf. sensitiven Logdaten vor allem Konfigurationsdaten unter Einschluss von Zugangsdaten zu Routern, Switches, Firewalls und Intrusion Detection/Prevention Systemen. Das Auslesen der Zugangsdaten zu diesen Systemen versetzt einen Angreifer u.U. in die Lage, diese erfogreich zu kompromittieren.
  • CVE-2006-3733:
    Neben der CSI-Kommando-Shell-Umgebung stellt CS-MARS auch eine Web-basierte Schnittstelle zur Administration der Applikation bereit. Diese Funktionalität wird durch einen mitgelieferten JBoss Web Application Server bereitgestellt. Eine Schwachstelle in diesem Server kann von einem anonymen Benutzer dazu ausgenutzt werden, beliebige Shell-Kommandos mit im Applikationskontext administrativen Privilegien an das CS-MARS abzusetzen. Dies kommt einer Kompromittierung der Applikation gleich.
  • CVE-2006-3734:
    Mehrere Schwachstellen in der CSI-Kommando-Shell-Umgebung erlauben einem im Applikationskontext als Administrator des CS-MARS angemeldeten Benutzer beliebigen Programmcode mit administrativen Privilegien auf dem beherbergenden Rechnersystem auszuführen und dieses so zu kompromittieren.
Die Kombination der Schwachstellen im JBoss Server und der CSI-Kommando-Shell-Umgebung ermöglichen einem anonymen Angreifer mit Zugriff auf die Web-Schnittstelle des CS-MARS die Kompromittierung und damit die Erlangung der vollen Kontrolle über das beherbergende Rechnersystem und aller Applikationen inklusive des CS-MARS und der enthaltenen Datenbank. Aufgrund der besonders sensitiven Daten, die CS-MARS hält, kann dies ggf. zu weiteren Kompromittierungen der überwachten IT-Infrastruktur genutzt werden.
Es wird daher dringend empfohlen, die von Cisco Inc. bereitgestellten Patches zu installieren.

Gegenmaßnahmen
Installation der durch Cisco Inc. bereitgestellten Patches zur Behebung dieses Problems. Zu beachten ist, dass die Patches für dieses Produkt inkrementell auf einander aufbauen und daher zunächst alle vorhergehenden Patches installiert sein müssen.

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

  • V 1.0 veröffentlicht als Kurzmeldung (2006-07-20)
  • V 1.1 zur Vollmeldung erweitert (2006-07-20)
  • V 1.2 CVE-Namen eingefügt (2006-09-15)
(og)

Weitere Artikel zu diesem Thema:

  • [Cisco/CS-MARS,ASDM] Schwachstelle in der Zertifikatverarbeitung (2007-01-19)
    Eine Schwachstelle in der Verarbeitung von digitalen Zerifikaten des Cisco Security Monitoring, Analysis and Response System (CS-MARS) sowie dem Cisco Adaptive Security Device Manager (ASDM) kann zur Kompromittierung der Vertrauensbeziehungen zwischen den zuliefernden Systemen und CS-MARS/ASDM führen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.