Derzeit machen Administratoren von Cisco-Umgebungen drei Schwachstellen zu schaffen. Es handelt sich dabei um die Sicherheitslücken CVE-2022-20732 im Virtualized-Infrastructure-Manager, CVE-2022-20773 in der Umbrella-Virtual-Appliance und CVE-2022-20783 im Telepresence-Collaboration-Endpoint und in der RoomOS-Software H.323. Alle werden mit den von Cisco zur Verfügung gestellten Patches geschlossen. Besonders interessant ist die Schwachstelle in der Umbrella-Virtual-Appliance, denn sie hätte Angreifern erlaubt, die statischen SSH-Schlüssel für einen Man-in-the-Middle-Angriff auszunutzen.
Cisco hatte Glück, dass diese Schwachstelle von einem Forscher und nicht von einem Angreifer entdeckt wurde, sonst wäre dies eine sehr ernste Zero-Day-Schwachstelle gewesen. Und darüber hinaus möglicherweise auch Zahltag für einen Bedrohungsakteur, der in der Lage ist, einen Exploit zu entwickeln. Besonders besorgniserregend ist die Tatsache, dass diese Schwachstelle eine Kompromittierung auf Administratorenebene ermöglicht – der heilige Gral für Angreifer. Diese Art des Zugriffs ermöglicht es dem Angreifer, seine Rechte zu erweitern, Hintertüren in Systeme einzubauen, große Datenmengen unbemerkt zu exfiltrieren und im Grunde jedes Gerät und System zu betreten und zu verlassen, ohne dass dies infrage gestellt wird.
Cisco hat aktuell zum zweiten Mal Probleme mit seinen SSH-Schlüsseln. Das Unternehmen muss sich also wirklich genauer ansehen, wie es diese kritischen Maschinenidentitäten verwaltet – andernfalls hat es beim nächsten Mal vielleicht nicht so viel Glück. Cisco ist jedoch nicht allein. SSH-Schlüssel sind unglaublich leistungsfähige Maschinenidentitäten und werden überall verwendet, aber sie werden auch schlecht verstanden und verwaltet, was sie zu einem bevorzugten Ziel für Angreifer macht.
Erschwerend kommt hinzu, dass sie sehr langlebig sind. Im Gegensatz zu anderen Maschinenidentitäten wie TLS laufen sie nicht ab. Das bedeutet, dass eine kompromittierte Identität monatelang, wenn nicht sogar jahrelang, missbraucht werden kann, ohne dass eine Organisation davon erfährt. In Anbetracht des hohen Maßes an Privilegien, das ihnen eingeräumt wird, ist dies eine sehr ernste Lücke in der organisatorischen Sicherheit.
Es ist jedoch zu erkennen, dass Unternehmen das Problem erkannt haben. Wir beobachten den Trend, dass Unternehmen SSH-Schlüssel durch SSH-Zertifikate ersetzen, die eine Ablauffrist enthalten. Darüber hinaus müssen Unternehmen einen Überblick über alle ihre Maschinenidentitäten haben. IT-Sicherheitsexperten müssen Richtlinien festlegen und durchsetzen können, die die Rotation von Maschinenidentitäten automatisieren, die sie möglicherweise ungeschützt lassen. Bei der Vielzahl von Maschinenidentitäten, die heute in Unternehmen vorhanden sind, ist Automatisierung ein absolutes Muss für jedes Unternehmen, das die Thematik der Maschinenidentitäten ernst nimmt.
#Venafi
