Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Workaround? Abdrehen!

21. März 2017

Langsam gibt es erste Details zu den 0-days, die im Vault-7-Leak enthalten sind.

Betroffen sind u.A. Switche von Cisco. Patches sind noch nicht für alle Modelle verfügbar, laut Heise gibt es aber folgenden Workaround:

Bis dahin empfiehlt der Hersteller Telnet auf betroffenen Geräte zu deaktivieren und bis zum Erscheinen des Patches auf SSH zu setzen.

Das ist meiner Meinung nach viel zu kurz gegriffen. Wir empfehlen:

  • Wir haben 2017, telnet ist obsolet. Ja, es mag ab und zu noch irgendwelche obskuren Devices geben, die nur telnet können, aber halbwegs aktuelle Switche und Router können schon lange ssh. Wenn das die aufgespielte Firmware nicht kann, dann stehen die Chancen gut, dass diese so alt ist, dass sie noch eine Reihe von weiteren bekannten Sicherheitslücken aufweist. Von telnet auf ssh umsteigen ist daher kein "Workaround", sondern eine längst überfällige Sicherheitsmaßnahme.
  • Management-Plane Protection. Egal ob telnet, ssh oder snmp: kein Router, Switch oder CPE sollte diese Interfaces für das ganze Internet erreichbar haben. Optimalerweise sind diese nur über ein Wartungsnetz per VPN erreichbar, aber auch schon strikte Filter auf Basis Source-IP-Adresse helfen enorm. Barry Greene hat im Rahmen der NANOG eine umfassende Präsentation zum Thema Sicherheit für ISPs erstellt.
Wir überlegen, auf Basis von Scans von Shadowserver die österreichischen ISPs darüber zu informieren, auf welchen IP-Adressen der Telnet-Port erreichbar ist. Betroffen sind aktuell rund 9000 IP-Adressen in Österreich. Input und Feedback dazu ist willkommen!

Autor: Otmar Lendl

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Schwerwiegende Sicherheitsprobleme in Systemen mit aktuellen Intel-Prozessoren
21. November 2017 Beschreibung Wie ...
Kritische Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches verfügbar
16. Oktober 2017 | Beschreibung Adobe ...
mehr ...
Es steht KRACK auf dem Speiseplan!
16. Oktober 2017 | Auch ...
Ein paar Thesen zu aktuellen Gesetzesentwürfen
31. Juli 2017 | Das Thema ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2017/3/21 - 10:25:55
Haftungsausschluss