[Generic/CiscoWorks] Schwachstelle im CiscoWorks Internetwork Performance Monitor
(2008-03-14 22:49:27.898586+00)
Quelle:
http://archive.cert.uni-stuttgart.de/bugtraq/2008/03/msg00187.htmlEine Entwurfsschwachstelle im CiscoWorks Internetwork Performance Monitor (IPM) kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen, sofern CiscoWorks auf einem Microsoft Windows System installiert ist, mit administrativen Privilegien. Cisco stellt Patches zur Behebung der Schwachstelle bereit, die umgehend installiert werden sollten.
Betroffene Plattformen
- SUN Solaris
- Microsoft Windows
Betroffene Systeme
- CiscoWorks IPM 2.6
Nicht betroffene Systeme
- CiscoWorks IPM 2.5 und frühere Versionen
- CiscoWorks IPM 4.0
Einfallstor
Zufälliger TCP-Port
Angriffsvoraussetzung
Zugriff zu einer Netzwerkverbindung, über die TCP-Pakete an ein betroffenes System gesendet werden kann
(network)
Angriffsvektorklasse
über eine Netzwerkverbindung
(remote)
Auswirkung
- Unter SUN Solaris:
Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit administrativen Privilegien
(user compromise) - Unter Microsoft Windows:
Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit administrativen Privilegien
(system compromise)
Typ der Verwundbarkeit
Entwurfsfehler
(design flaw)
Gefahrenpotential
- Unter SUN Solaris:
hoch - Unter Microsoft Windows:
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Ein Entwurfsfehler in Ciscos Netzwerküberwachungswerkzeug CiscoWorks Internetwork Performance Monitor (IPM) kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit administrativen Privilegien auf dem beherbergenden Rechnersystem auszuführen.
Die Applikation öffnet nach dem Start eine Kommandoshell, die auf einem zufällig gewählten TCP-Port auf Verbindungen aus dem Netzwerk wartet. Über diesen können ohne weitere Authentifizierung beliebige Shell-Kommandos gesendet, die auf dem beherbergenden Rechnersystem. ausgeführt werden. Auf Systemen unter SUN Solaris mit den Privilegien des Benutzers casuser, auf Systemen unter Microsoft Windows-Betriebssystemen mit SYSTEM-Privilegien. Dies ermöglicht auf Windows-Systemen die direkte und triviale Kompromittierung des beherbergen Rechnersystems, auf Systemen unter SUN Solaris lediglich die Kompromittierung eines nichtprivilegierten Benutzerkontos, was jedoch zu weiteren lokalen Angriffen genutzt werden kann.
Workaround
- Einschränkung des Netzverkehrs zu betroffenen Systemen auf das Minimum an IP-Adressen, z.B. mittels einer Firewall
Diese Maßnahme behebt die Schwachstelle nicht sondern schränkt lediglich die Zahl der Systeme ein, von denen aus ein Angriff möglich ist. Da die Schwachstelle eine direkte Kompromittierung eines betroffenen Systems erlaubt, sollte diese Maßnahme allein nur als Überbrückung bis zur Installation der entsprechenden Patches oder einer aktualisierten Versionen der betroffenen Software angewandt werden.
Gegenmaßnahmen
- Installation eines Patches
Vulnerability ID
- CVE-2008-1157
- Cisco BugID CSCsj06260 (nur für registierte Cisco Kunden)
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1432