Cisco schließt massive Sicherheitslücke in Policy Suite für ISPs

Wie der Netzwerkhersteller Cisco Systems nun selbst einräumen musste, war in einer seiner wesentlichen Anwendungen eine nicht dokumentierte Hintertür enthalten. Angreifern sei es damit möglich gewesen, sich mit Root-Rechten aus der Ferne in den Cluster Manager der Policy Suite von Cisco einzuloggen. Die Software enthielt einen versteckten, nicht löschbaren Admin-Account, der remote erreichbar war.

Die Policy Suite ist eine für ISPs (Internet Service Provider), Telekom-Carrier und große Unternehmen entwickelte Software, mit der sich etwa genutzte Bandbreiten kontrollieren und Abonnements verwalten lassen. Dazu ist sie mit weitgehenden Rechten und Möglichkeiten ausgestattet. So kann sie etwa nach Informationen des Security-Portals Bleepingcomputer dazu genutzt werden, einzelne Nutzer gezielt zu überwachen. Mit dem undokumentierten Root-Account ist es für Angreifer ein leichtes, auf ungepatchte Systeme mit der Policy Suite von Cisco zuzugreifen und dort Admin-Rechte zu nutzen.

Die einzige Lösung, um das Sicherheitsloch zu schließen, ist das Einspielen eines Patches für die Policy Suite, den Cisco nun veröffentlicht hat. Nach Angaben des Herstellers gibt es keine andere Möglichkeit, um den versteckten Root-Account zu entfernen. In Version 18.2.0 sei die Lücke nun geschlossen worden. Administratoren können die aktuelle Version mit dem Befehl about.sh auf der Kommandozeile überprüfen.

Nach Angaben von Cisco wurde die Lücke bei internen Software-Audits entdeckt. Der undokumentierte Root-Account sei vermutlich bei Debugging-Tests eingebaut und dann nicht entfernt worden. Laut Bleepingcomputer ist dies aber schon die fünfte Backdoor, die der Netzwerkhersteller in den vergangenen fünf Monaten in seinen Produkten schließen musste. Betroffen seien auch Prime Collaboration Provisioning (PCP), IOS XE, das DNA-Center (Digital Network Architecture) und der WAAS-Traffic-Optimizer (Wide Area Application Services) gewesen.