Sicherheitsupdates: Schwerwiegende Lücken in Cisco Policy Suite
Cisco hat mehrere Patches veröffentlicht, die teils als kritisch eingestufte Schwachstellen schließen. Davon sind mehrere Produkte betroffen.
In Cisco Policy Suite (CPS) klaffen vier kritische Sicherheitslücken. Setzen Angreifer an den Schwachstellen an, sollen sie unter anderem auf Datenbanken zugreifen können. Updates schließen die Lücken. Admins sollten diese zügig installieren. Weitere bedrohte Produkte sind in Ciscos Sicherheitscenter aufgelistet.
CPS ist ein Framework, mit dem Unternehmen beispielsweise maßgeschneiderte Service-Lösungen für den Umgang mit Kunden generieren können. Aufgrund einer fehlenden Authentifizierung, könnte ein Angreifer aus der Ferne ohne weitere Vorarbeit auf das Policy Builder Interface zugreifen und Repositories verändern, warnt der Netzwerkausrüster.
Aufgrund von Standard-Zugangsdaten im Cluster Manager von CPS könnte ein entfernter Angriff mit Root-Rechten auf das System zugreifen und Schadcode einschleusen. Darüber hinaus sind noch unrechtmäßige Zugriffe auf das OSGi-Interface und auf die Policy-Builder-Datenbank vorstellbar. Die CPS-Versionen 18.1.0 und 18.2.0 sind abgesichert.
Bedrohungsgrad "hoch" und "mittel"
Weitere wichtige Sicherheitsupdates stehen für die WAN-Management-Software SD-WAN, Webex Network Recording Player, Unified Contact Center und Switches der Serie Nexus 9000 bereit. Davon sind neun Lücken mit dem Bedrohungsgrad "hoch" und zwölf mit "mittel" eingestuft.
Setzen Angreifer an den Schwachstellen an, können sie beispielsweise Services via DoS-Agriff lahmlegen oder sogar Schadcode ausführen.
Liste nach Bedrohungsgrad absteigend sortiert:
- Policy Suite Policy Builder Unauthenticated Access
- Policy Suite OSGi Interface Unauthenticated Access
- Policy Suite Policy Builder Database Unauthenticated
- Policy Suite Cluster Manager Default Password
- SD-WAN Solution Configuration and Management Database Remote Code Execution
- SD-WAN Solution Arbitrary File Overwrite
- Nexus 9000 Series Fabric Switches Application-Centric Infrastructure Mode DHCP Version 6 Denial of Service
- Webex Network Recording Players Remote Code Execution
- SD-WAN Solution Zero Touch Provisioning Command Injection
- SD-WAN Solution Command Injection
- SD-WAN Solution Zero Touch Provisioning Denial of Service
- SD-WAN Solution CLI Command Injection
- SD-WAN Solution VPN Subsystem Command Injection
- SD-WAN Solution Local Buffer Overflow
- Policy Suite Read-Only User Effect Change
- Webex Teams Remote Code Execution
- Multiple Vulnerabilities in Cisco Unified Contact Center Express
- SD-WAN Solution Remote Code Execution
- Cloud Services Platform 2100 Web Upload Function Code Injection
- Webex DOM-Based Cross-Site Scripting
- Unified Communications Manager IM And Presence Service Cross-Site Scripting
- Multiple Vulnerabilities in Cisco Finesse
- Webex Network Recording Players Denial of Service
- Policy Suite World-Readable Sensitive Data
- SD-WAN Solution Command Injection
(des)