Das Cisco Security Monitoring and Response System (CS-MARS) hat mehrere Schwachstellen, die unter anderem die Ausführung beliebigen Shell-Codes durch einen unauthentifizierten Angreifer über die Web-Schnittstelle der Applikation ermöglichen. Weiterhin ist bei Betrieb von CS-MARS in der voreingestellten Konfiguration das unberechtigte Auslesen von Netzwerkkonfigurationsdaten und Logs aus der zugrundeliegenden Datenbank möglich, was insbesondere bei gespeicherten Authentifizierungsdaten z.B. aktiver Netzwerkkomponenten zu weiteren Kompromittierungen führen kann. Schließlich können diverse Schwachstellen in der Shellumgebung CLI des CS-MARS dazu ausgenutzt werden, beliebigen Programmcode mit administrativen Privilegien auf dem beherbergenden Rechnersystem auszuführen.

Betroffene Systeme

• CS-MARS der Versionen vor 4.2.1

Nicht betroffene Systeme

• CS-MARS Version 4.2.1

Einfallstor

• CVE-2006-3732:
  Datenbank-Benutzer mit Standard-Passwörtern
• CVE-2006-3733:
  HTTP-Request an die Web-Benutzungsschnittstelle vpn CS-MARS
• CVE-2006-3734:
  CLI-Kommando-Shell-Umgebung

Angriffsvoraussetzung
Ein Angreifer muss auf folgende Ressourcen Zugriff haben, um einen erfolgreichen Angriff durchzuführen:

• CVE-2006-3732:
  Unauthorisierter Zugriff auf die Datenbank, je nach Konfiguration lokal oder über eine Netzwerkverbindung
• CVE-2006-3733:
  Unauthentifizierter Zugriff auf die Web-Schnittstelle von CS-MARS
• CVE-2006-3734:
  Authentifizierter Zugriff mit im Applikationskontext administrativen Privilegien auf die CSI-Kommando-Shell-Umgebung, jedoch keine administrativen Privilegien auf dem beherbergenden Rechnersystem

Auswirkung

• CVE-2006-3732:
  Auslesen beliebiger Daten aus der CS-MARS-Datenbank
• CVE-2006-3733:
  Ausführen beliebiger Shell-Kommandos mit administrativen Privilegien im Kontext von CS-MARS durch einen unauthentifizierten Benutzer über eine Netzwerkverbindung (remote user compromise)
• CVE-2006-3734:
  Ausführen beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit administrativen Privilegien (local system compromise

Typ der Verwundbarkeit

• unbekannt

Gefahrenpotential

• CVE-2006-3732:
  Je nach der Qualität der gespeicherten Daten:
  hoch bis sehr hoch
• CVE-2006-3733:
  hoch
• CVE-2006-3734:
  hoch

Kontext
Das Netzwerk-Überwachungswerkzeug Cisco Security Monitoring, Analysis and Response System (CS-MARS) sammelt Log- und Konfigurationsdaten von verschiedenen Netzwerkkomponenten und korreliert diese zur Überwachung der Leistung und Sicherheit. CS-MARS kann automatisch Aktionen zur Linderung von Sicherheitsproblemen durchführen.

Beschreibung

• CVE-2006-3732:
  CS-MARS verwendet zur Speicherung von Log- und Konfigurationsdaten der überwachten Netzkomponenten eine Oracle-Datenbank, die im Lieferumfang enthalten ist. Die Datenbank enthält verschiedene voreingestellte Konten, die bekannte Passwörter besitzen. Diese Konten können von einem Angreifer missbraucht werden, Daten aus der Datenbank auszulesen. Typischerweise enthält diese neben ggf. sensitiven Logdaten vor allem Konfigurationsdaten unter Einschluss von Zugangsdaten zu Routern, Switches, Firewalls und Intrusion Detection/Prevention Systemen. Das Auslesen der Zugangsdaten zu diesen Systemen versetzt einen Angreifer u.U. in die Lage, diese erfogreich zu kompromittieren.
• CVE-2006-3733:
  Neben der CSI-Kommando-Shell-Umgebung stellt CS-MARS auch eine Web-basierte Schnittstelle zur Administration der Applikation bereit. Diese Funktionalität wird durch einen mitgelieferten JBoss Web Application Server bereitgestellt. Eine Schwachstelle in diesem Server kann von einem anonymen Benutzer dazu ausgenutzt werden, beliebige Shell-Kommandos mit im Applikationskontext administrativen Privilegien an das CS-MARS abzusetzen. Dies kommt einer Kompromittierung der Applikation gleich.
• CVE-2006-3734:
  Mehrere Schwachstellen in der CSI-Kommando-Shell-Umgebung erlauben einem im Applikationskontext als Administrator des CS-MARS angemeldeten Benutzer beliebigen Programmcode mit administrativen Privilegien auf dem beherbergenden Rechnersystem auszuführen und dieses so zu kompromittieren.

Gegenmaßnahmen
Installation der durch Cisco Inc. bereitgestellten Patches zur Behebung dieses Problems. Zu beachten ist, dass die Patches für dieses Produkt inkrementell auf einander aufbauen und daher zunächst alle vorhergehenden Patches installiert sein müssen.

Vulnerability ID

• CVE-2006-3732, CSCsd16256
• CVE-2006-3733, CSCse47646
• CVE-2006-3734, CSCsd29111, CSCsd31371, CSCsd31377, CSCsd31392 und CSCsd31972

Weitere Information zu diesem Thema

• Liste der Announcements des Cisco-PSIRT.

Revisionen dieser Meldung

• V 1.0 veröffentlicht als Kurzmeldung (2006-07-20)
• V 1.1 zur Vollmeldung erweitert (2006-07-20)
• V 1.2 CVE-Namen eingefügt (2006-09-15)

Weitere Artikel zu diesem Thema:

• [Cisco/CS-MARS,ASDM] Schwachstelle in der Zertifikatverarbeitung (2007-01-19)
  Eine Schwachstelle in der Verarbeitung von digitalen Zerifikaten des Cisco Security Monitoring, Analysis and Response System (CS-MARS) sowie dem Cisco Adaptive Security Device Manager (ASDM) kann zur Kompromittierung der Vertrauensbeziehungen zwischen den zuliefernden Systemen und CS-MARS/ASDM führen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/