Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1432

[Generic/CiscoWorks] Schwachstelle im CiscoWorks Internetwork Performance Monitor
(2008-03-14 22:49:27.898586+00) Druckversion

Quelle: http://archive.cert.uni-stuttgart.de/bugtraq/2008/03/msg00187.html

Eine Entwurfsschwachstelle im CiscoWorks Internetwork Performance Monitor (IPM) kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen, sofern CiscoWorks auf einem Microsoft Windows System installiert ist, mit administrativen Privilegien. Cisco stellt Patches zur Behebung der Schwachstelle bereit, die umgehend installiert werden sollten.

Betroffene Plattformen

  • SUN Solaris
  • Microsoft Windows

Betroffene Systeme

  • CiscoWorks IPM 2.6

Nicht betroffene Systeme

  • CiscoWorks IPM 2.5 und frühere Versionen
  • CiscoWorks IPM 4.0

Einfallstor
Zufälliger TCP-Port

Angriffsvoraussetzung
Zugriff zu einer Netzwerkverbindung, über die TCP-Pakete an ein betroffenes System gesendet werden kann
(network)

Angriffsvektorklasse
über eine Netzwerkverbindung
(remote)

Auswirkung

  • Unter SUN Solaris:
    Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit administrativen Privilegien
    (user compromise)
  • Unter Microsoft Windows:
    Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit administrativen Privilegien
    (system compromise)

Typ der Verwundbarkeit
Entwurfsfehler
(design flaw)

Gefahrenpotential

  • Unter SUN Solaris:
    hoch
  • Unter Microsoft Windows:
    sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Ein Entwurfsfehler in Ciscos Netzwerküberwachungswerkzeug CiscoWorks Internetwork Performance Monitor (IPM) kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit administrativen Privilegien auf dem beherbergenden Rechnersystem auszuführen.

Die Applikation öffnet nach dem Start eine Kommandoshell, die auf einem zufällig gewählten TCP-Port auf Verbindungen aus dem Netzwerk wartet. Über diesen können ohne weitere Authentifizierung beliebige Shell-Kommandos gesendet, die auf dem beherbergenden Rechnersystem. ausgeführt werden. Auf Systemen unter SUN Solaris mit den Privilegien des Benutzers casuser, auf Systemen unter Microsoft Windows-Betriebssystemen mit SYSTEM-Privilegien. Dies ermöglicht auf Windows-Systemen die direkte und triviale Kompromittierung des beherbergen Rechnersystems, auf Systemen unter SUN Solaris lediglich die Kompromittierung eines nichtprivilegierten Benutzerkontos, was jedoch zu weiteren lokalen Angriffen genutzt werden kann.

Workaround

  • Einschränkung des Netzverkehrs zu betroffenen Systemen auf das Minimum an IP-Adressen, z.B. mittels einer Firewall
Hinweis:
Diese Maßnahme behebt die Schwachstelle nicht sondern schränkt lediglich die Zahl der Systeme ein, von denen aus ein Angriff möglich ist. Da die Schwachstelle eine direkte Kompromittierung eines betroffenen Systems erlaubt, sollte diese Maßnahme allein nur als Überbrückung bis zur Installation der entsprechenden Patches oder einer aktualisierten Versionen der betroffenen Software angewandt werden.

Gegenmaßnahmen

Vulnerability ID

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.