Categories: Unternehmen

Cisco-Netzwerksicherheit

Soweit es Cisco-Geräte angeht, sind die alte NetRanger (Secure IDS) Sensor-Komponente und das Catalyst 6000 IDS Modul vom %u-Problem betroffen. Servicepack 3.0(2)S6 enthält einen Patch für den Cisco Secure Intrusion Detection System Sensor, befindet sich allerdings noch im Betastadium. Das vollständige Servicepack 3.0 (in dem auch der Patch für Catalyst 6000 IDS enthalten sein wird), ist für Oktober angekündigt.

Bis der Patch für das Catalyst 6000 IDS verfügbar ist, können Sie sich mit einem Workaround behelfen, der sowohl für den Cisco Secure Intrusion Detection System Sensor als auch das Catalyst 6000 Intrusion Detection System Modul funktioniert. Dabei wird eine benutzerdefinierte Zeichenkettensignatur definiert, mit der die Abweichung vom Unicode erkannt wird. Cisco weist warnend darauf hin, dass es dadurch auch zu Fehlalarmen kommen kann, da die Unicode-Zeichenkette auch im normalen Betrieb Anwendung finden könnte. Wenn Sie also diesen Workaround verwenden, sollten Sie die Protokolle sorgfältig beobachten.

Hier nun der Workaround, wie er von Cisco herausgegeben wurde:

Signatur 1
********************************
Unicode-Abweichung:
„[%][uU][0-9a-FA-F][0-9a-fA-F][0-9a-fA-F][0-9a-fA-F]“
Häufigkeit:
1
Port:
80
Falls Web-Server auch auf anderen TCP-Ports (zum Beispiel 8080) eine Verbindung erlauben, müssen Sie eine weitere benutzerdefinierte Zeichenkettenentsprechung für jeden Port erstellen.
Empfohlene Alarmstufe:
Hoch (CSPM)
5 (Unix Director)
Richtung:
TO
********************************

Das Feature der benutzerdefinierten Zeichenkettenentsprechung wird auf der Web-Site von Cisco beschrieben.

Ich möchte noch einmal betonen, dass dies kein großes Problem für diejenigen darstellt, die sich nicht nur auf ein IDS zum Schutz ihres Servers verlassen. Da ich dieses Problem aber als warnendes Beispiel verwende, möchte ich sämtliche Details angeben. Wenn sich übrigens die Autoren des Wurms ,,Code Red“ entschieden hätten, die %u-Codierung anstelle des Angriffs auf .ida zu verwenden, dann wäre das vorliegende Problem deutlich größer, wenn nicht sogar katastrophal, gewesen.

Die meisten Netzwerke sind für diesen Punkt nicht anfällig, da andere Sicherheitsmaßnahmen zum Tragen kommen, wenn der Angreifer das IDS passiert. Fakt bleibt jedoch, dass eine Sicherheitsmaßnahme ausgeschaltet wurde. Und wenn erst einmal genügend Stufen betroffen oder überwindbar sind, wird das gesamte Netzwerk verwundbar.

Page: 1 2 3 4

ZDNet.de Redaktion

Recent Posts

Cloudflare: Weltweiter Internettraffic wächst 2024 um 17,2 Prozent

Das Wachstum konzentriert sich wie im Vorjahr auf das zweite Halbjahr. Google dominiert bei den…

1 Woche ago

Adobe stopft kritische Löcher in Reader und Acrobat

Sie ermöglichen eine Remotecodeausführung. Angreifbar sind Acrobat DC, 2024 und 2020 sowie Reader DC und…

1 Woche ago

Dezember-Patchday: Microsoft schließt Zero-Day-Lücke

Die öffentlich bekannte und bereits ausgenutzte Schwachstelle erlaubt eine Rechteausweitung. Betroffen sind alle unterstützten Versionen…

1 Woche ago

Quantencomputer: Google meldet Durchbruch bei Fehlerkorrektur

Der neue Quantenchip Willow löst eine Herausforderung, an der seit 30 Jahren gearbeitet wird. Google…

1 Woche ago

OpenAI veröffentlicht KI-Video-Tool Sora

Es erstellt kurze Videoclips aus Textaufforderungen. Sora steht ab sofort Abonnenten von ChatGPT Plus und…

1 Woche ago

KI-Modell „Made in Germany“

Telekom bietet als erstes Unternehmen kommerzielles Angebot mit Teuken-7B von OpenGPT-X.

1 Woche ago