Sehr geehrte Damen und Herren,
wir wenden uns heute an Sie, da Cisco und das Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber informieren, dass aktuelle Switches der Firma Cisco eine Sicherheitslücke aufweisen.
Die Sicherheitslücke betrifft die Web UI der aktuellen Catalyst Switches und Wireless LAN Controller, die unter IOS XE laufen. Momentan steht noch kein passendes Update zur Verfügung. Die Sicherheitslücke ermöglicht es, Angreifern ohne Authentifizierung einen Benutzer mit vollen Zugriffsrechten zu erstellen. Dadurch ist es möglich, die Kontrolle über das jeweilige Gerät zu bekommen.
Die Sicherheitslücke kann nur ausgenutzt werden, wenn die Web UI aktiviert ist. Ob diese aktiv ist, sehen Sie, wenn folgende Einträge in der running-config vorhanden sind:
Switch#show running-config | include ip http server|secure|active
ip http server
ip http secure-server
Weitere Informationen dazu finden sich hier:
Bug Cisco IOS XE Software Web UI Privilege Escalation Vulnerability
_______________________________________________________________________________________
AU-Empfehlung:
Auf den meisten IOS-XE Geräten die von uns bei Ihnen installiert wurden ist folgende Konfiguration aktiv:
Switch#show running-config | include ip http server|secure|active
no ip http server
ip http secure-server
Damit sind diese Geräte nach aktuellem Stand von der Sicherheitslücke betroffen. Die Lücke kann aber nur ausgenutzt werden, wenn der Angreifer im internen Netz ist bzw. direkten Zugriff auf die Web UI der Geräte hat. Bitte beurteilen Sie selbst, in weit das für Sie relevant ist. Durch Abschalten der Funktion können Sie die Geräte nur noch per CLI verwalten.
Sie deaktivieren die Web UI mit folgenden Befehlen:
Switch#configure terminal
Switch(config)#no ip http server
Switch(config)#no ip http secure-server
Außerdem weisen wir darauf hin, dass „ip http secure-server“ bei den Wireless LAN Controllern (C9800) für den Zugriff auf die Web UI und, falls vorhanden, auch für die Funktionsweise des WLAN Gast Portals notwendig ist.
Stand 18.10.2023 9 Uhr sind gemäß dem Bug Search Tool nur die IOS-XE Versionen 16.6.2, 16.9.4 und 16.9.6 sowie 17.3.3 und 17.6.5 betroffen. Wir gehen aber davon aus, dass diese Informationen noch nicht vollständig sind und sicherheitshalber alle 16.x und 17.x Versionen unter Verdacht gestellt werden müssen.
Eine Anleitung von Cisco zur Einschränkung des Webzugriffs, wenn Web-Services nicht deaktiviert werden können, z. B. eWLC, Webredirct auf Captive Portal Sites (CWA, LWA) finden Sie unter folgendem Link: Filter Traffic Destined to Cisco IOS XE Devices WebUI Using an Access List – Cisco
Bei Fragen wenden Sie sich jederzeit an Ihren AU-Ansprechpartner.
Michael Drüing 
Tobias Rockenfeld