21.03.2017 10:25

Workaround? Abdrehen!

Langsam gibt es erste Details zu den 0-days, die im Vault-7-Leak enthalten sind.

Betroffen sind u.A. Switche von Cisco. Patches sind noch nicht für alle Modelle verfügbar, laut Heise gibt es aber folgenden Workaround:

Bis dahin empfiehlt der Hersteller Telnet auf betroffenen Geräte zu deaktivieren und bis zum Erscheinen des Patches auf SSH zu setzen.

Das ist meiner Meinung nach viel zu kurz gegriffen. Wir empfehlen:

  • Wir haben 2017, telnet ist obsolet. Ja, es mag ab und zu noch irgendwelche obskuren Devices geben, die nur telnet können, aber halbwegs aktuelle Switche und Router können schon lange ssh. Wenn das die aufgespielte Firmware nicht kann, dann stehen die Chancen gut, dass diese so alt ist, dass sie noch eine Reihe von weiteren bekannten Sicherheitslücken aufweist. Von telnet auf ssh umsteigen ist daher kein "Workaround", sondern eine längst überfällige Sicherheitsmaßnahme.
  • Management-Plane Protection. Egal ob telnet, ssh oder snmp: kein Router, Switch oder CPE sollte diese Interfaces für das ganze Internet erreichbar haben. Optimalerweise sind diese nur über ein Wartungsnetz per VPN erreichbar, aber auch schon strikte Filter auf Basis Source-IP-Adresse helfen enorm. Barry Greene hat im Rahmen der NANOG eine umfassende Präsentation zum Thema Sicherheit für ISPs erstellt.
Wir überlegen, auf Basis von Scans von Shadowserver die österreichischen ISPs darüber zu informieren, auf welchen IP-Adressen der Telnet-Port erreichbar ist. Betroffen sind aktuell rund 9000 IP-Adressen in Österreich. Input und Feedback dazu ist willkommen!

Autor: Otmar Lendl