Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1432

[Generic/CiscoWorks] Schwachstelle im CiscoWorks Internetwork Performance Monitor
(2008-03-14 22:49:27.898586+00)

Quelle: http://archive.cert.uni-stuttgart.de/bugtraq/2008/03/msg00187.html

Eine Entwurfsschwachstelle im CiscoWorks Internetwork Performance Monitor (IPM) kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen, sofern CiscoWorks auf einem Microsoft Windows System installiert ist, mit administrativen Privilegien. Cisco stellt Patches zur Behebung der Schwachstelle bereit, die umgehend installiert werden sollten.

Betroffene Plattformen

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Zufälliger TCP-Port

Angriffsvoraussetzung
Zugriff zu einer Netzwerkverbindung, über die TCP-Pakete an ein betroffenes System gesendet werden kann
(network)

Angriffsvektorklasse
über eine Netzwerkverbindung
(remote)

Auswirkung

Typ der Verwundbarkeit
Entwurfsfehler
(design flaw)

Gefahrenpotential


(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Ein Entwurfsfehler in Ciscos Netzwerküberwachungswerkzeug CiscoWorks Internetwork Performance Monitor (IPM) kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit administrativen Privilegien auf dem beherbergenden Rechnersystem auszuführen.

Die Applikation öffnet nach dem Start eine Kommandoshell, die auf einem zufällig gewählten TCP-Port auf Verbindungen aus dem Netzwerk wartet. Über diesen können ohne weitere Authentifizierung beliebige Shell-Kommandos gesendet, die auf dem beherbergenden Rechnersystem. ausgeführt werden. Auf Systemen unter SUN Solaris mit den Privilegien des Benutzers casuser, auf Systemen unter Microsoft Windows-Betriebssystemen mit SYSTEM-Privilegien. Dies ermöglicht auf Windows-Systemen die direkte und triviale Kompromittierung des beherbergen Rechnersystems, auf Systemen unter SUN Solaris lediglich die Kompromittierung eines nichtprivilegierten Benutzerkontos, was jedoch zu weiteren lokalen Angriffen genutzt werden kann.

Workaround

Hinweis:
Diese Maßnahme behebt die Schwachstelle nicht sondern schränkt lediglich die Zahl der Systeme ein, von denen aus ein Angriff möglich ist. Da die Schwachstelle eine direkte Kompromittierung eines betroffenen Systems erlaubt, sollte diese Maßnahme allein nur als Überbrückung bis zur Installation der entsprechenden Patches oder einer aktualisierten Versionen der betroffenen Software angewandt werden.

Gegenmaßnahmen

Vulnerability ID

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1432