Die HTTP-Server von IOS Betriebssystemen in Cisco Routern filtern die Ausgabe von Netzwerkpaket-Inhalten nicht ausreichend, so dass durch Angreifer eingeschleuster manipulierter HTML- oder Script-Code in Seiten des HTTP-Servers dargestellt bzw. ausgeführt werden kann. Manipulierter HTML- oder Script-Code kann durch die Protokollierung von manipulierten Datenpaketen in einen Cisco Router eingeschleust werden. Hierzu genügt der Versand solcher manipulierten Pakete über einen protokollierenden Cisco Router.

Betroffene Systeme

• Cisco IOS 10.x
• Cisco IOS 11.x
• Cisco IOS 12.x
• Cisco IOS R11.x
• Cisco IOS R12.x

Einfallstor
Speziell manipulierte Datenpakete, die von einem Cisco-Router protokolliert werden

Auswirkung
Ausführung beliebigen Scriptcodes mittels eines ensprechend manipulierten HTTP-Requests, der von einem betroffenen System geroutet wird. Dabei kann z.B. das Administrator-Passwort durch einen entsprechenden Request geaendert werden. (remote system compromise)

Typ der Verwundbarkeit
Cross Site Scripting

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Das selten genutzte Feature zur Ausgabe von protokollierten Netzwerkpaket-Inhalten im Web-Interface von HTTP-Servern zur Konfiguration und Wartung von IOS-basierten Cisco Routern filtert Netzwerkpaket-Inhalte nur unzureichend. Dies kann dazu ausgenutzt werden, Netzwerk-Datenpakete mit manipuliertem HTML- oder Script-Code auszustatten, die dann bei der Ausgabe durch den HTTP-Server als gültiger serverseitiger HTML-Inhalt oder ActiveScripting-Inhalt von einem Browser dargestellt bzw. ausgeführt werden können.

Dies kann bspw. dazu führen, dass ein Administrator eines Cisco Routers über diese Schwachstelle eingeschleusten Code mit seinen Privilegien ausführt und dadurch z.B. sein Passwort geändert wird, was einem potentiellen Angreifer die Erlangung von Administrator-Privilegien auf einem betroffenen Cisco Router ermöglichen kann.

Bis zur Installation der entsprechenden Bugfixes von Cisco, wird allen Administratoren, die das Web-Interface und das besagte Ausgabe-Feature verwenden, dringend empfohlen, ActiveScripting im Browser zu deaktivieren bzw. das Feature nicht zu verwenden.

Workaround

• ActiveScripting im Browser deaktivieren
• Speicher- und Netzwerkpaket-Ausgabe Feature im IOS Webinterface nicht verwenden

Gegenmaßnahmen

• Installation der von Cisco bereitgestellten Patches

Vulnerability ID

• SA17780
• CSCsc64976

Weitere Information zu diesem Thema

• http://www.infohacking.com/INFOHACKING_RESEARCH/Our_Advisories/cisco/index.html
• http://www.heise.de/security/news/meldung/66797
• Secunia Advisory 17780: Cisco IOS HTTP Server Script Insertion Vulnerability

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/