Offizielle Warnung
21.08.2015, 08:29 Uhr
Hacker tauschen Cisco-Firmware aus
Cisco warnt: Ungenannte Angreifer sind in der Lage, die Firmware von Cisco-Routern und -Switches heimlich mit einer eigenen, manipulierten Version zu ersetzen.
Der Netzwerkhersteller Cisco Systems ist mit einem ungewöhnlichen Security-Bulletin an die Öffentlichkeit gegangen. Das Unternehmen warnt davor, dass es ungenannten Angreifern gelungen sei, den „Bootstrap“ auf Cisco-Hardware heimlich auszutauschen.
Der Bootstrap beziehungsweise ROM Monitor (ROMmon) ist vergleichbar mit der Firmware oder dem BIOS eines Rechners. Er wird direkt nach dem Start eines Switches oder Routers geladen. Erst nach dem Bootstrap startet das eigentliche Betriebssystem des Geräts, die Internetwork Operating System Software (IOS). Wer also den Bootstrap kontrolliert, der kontrolliert das entsprechende Gerät und kann Einfluss nehmen auf alle Daten, die darüber übertragen werden.
Laut Cisco erfordert der Angriff physischen Zugriff auf die entsprechende Hardware. Wenn die Admin-Zugangsdaten beschafft werden konnten, dann sei aber auch ein Bootstrap-Tausch über Remote-Verbindungen möglich. Hierbei handelt es sich nicht um ein theoretisches Gebilde. Cisco hat den Angriff wohl selbst mehrmals entdeckt. Zu den Organisationen, die dahinter stecken könnten, schweigt sich das Unternehmen aus. Einen neuen Bootstrap schreiben, können aber vermutlich nicht viele.
Cisco weist darauf hin, dass es sich hier nicht um eine Sicherheitslücke im klassischen Sinn handele. Die Möglichkeit, den Bootstrap auszutauschen, sei eine Standardfunktion, die von vielen Administratoren genutzt werde, um ihre Systeme zu aktualisieren. Cisco rät Kunden, die Netzwerk-Hardware des Herstellers einsetzen, ihre Geräte zu härten. Dazu hat Cisco mehrere englischsprachige Ratgeber veröffentlicht, die in dem Security-Bulletin verlinkt sind.