Cisco patcht Hintertür weg und schließt weitere Lücken
Unter bestimmten Voraussetzungen sollen Angreifer ohne viel Aufwand Email Security Appliances kapern können. Cisco stuft die Sicherheitslücke mit dem höchsten Bedrohungsgrad ein.
(Bild: dpa, Felix Kästle/Illustration)
In einigen Versionen des IronPort AsyncOS für Ciscos Email Security Appliances (ESA) klafft eine extrem kritische Lücke. Nutzt ein Angreifer diese aus, kann er Geräte komplett übernehmen und verfügt anschließend über Root-Rechte.
Davor und vor einem Dutzend weiteren Lücken mit einem Bedrohungsgrad von mittel bis hoch warnt das US-CERT. Admins sollten die Schwachstellen zügig durch das Einspielen von abgesicherten Versionen schließen.
Support-Interface im Code vergessen
ESA-Systeme sind aktuell angreifbar, da Cisco-Entwickler offensichtlich eine Hintertür in Form eines Support-Interfaces in einigen Kunden-Versionen des AsyncOS vergessen haben. Die betroffenen Versionen listet Cisco in einer Sicherheits-Warnung auf. Über einen Exploit könne ein Angreifer aus der Ferne ohne Authentifizierung und mit vergleichsweise wenig Aufwand an dem Interface ansetzen und so Geräte in Beschlag nehmen, warnt das Unternehmen.
Ein Übergriff sei aber nur möglich, wenn ein Gerät seit der Installation einer verwundbaren Ausgabe von AsyncOS nur einmal neu gestartet wurde. Nach einem zweiten Neustart soll das Support-Interface deaktiviert sein. Eine Attacke gelingt zudem nur, wenn der Enrollment Client auf einem Gerät älter als die Version 1.0.2-065 ist. Die installierte Ausgabe kann man mit dem Befehl ecstatus im CLI überprüfen.
Gegenmittel
Bei wem die gefährliche Kombination von verwundbarem AsyncOS und Enrollment Client zutrifft, sollte seine ESA mindestens zweimal neu starten. Wem dieser Workaround zu unsicher ist, kann abgsicherte AsyncOS- und Enrollment-Client-Versionen einspielen.
Geräte mit IOS-System lahmlegen
In Ciscos IOS- und IOS-XE-Betriebssystem klaffen zehn Lücken, deren Bedrohungsgrad Cisco mit Hoch einstuft. Über die Schwachstellen können Angreifer Geräte mit dem System über DoS-Attacken lahmlegen. Details zu den Lücken, betroffenen Versionen und Geräte finden sich über folgende Links:
- Cisco IOS and IOS XE Software Smart Install Memory Leak Vulnerability
- Cisco IOS and IOS XE Software Multicast Routing Denial of Service Vulnerabilities
- Cisco IOS XE Software NAT Denial of Service Vulnerability
- Cisco IOS and IOS XE Software AAA Login Denial of Service Vulnerability
- Cisco IOS Software Common Industrial Protocol Request Denial of Service Vulnerability
- Cisco IOS and IOS XE Software DNS Forwarder Denial of Service Vulnerability
- Cisco IOS and IOS XE Software IP Detail Record Denial of Service Vulnerability
- Cisco IOS and IOS XE Software Internet Key Exchange Version 1 Fragmentation Denial of Service Vulnerability
- Cisco IOS and IOS XE Software H.323 Message Validation Denial of Service Vulnerability
- Cisco IOS XE Software IP Fragment Reassembly Denial of Service Vulnerability
Zwei Lücken mit dem Bedrohungsgrad mittel klaffen in Ciscos Firepower Management Center. Angreifer könnten so eine SQL-Injection ausführen und sich höhere Rechte erschleichen. (des)
