Sicherheitsupdates: Kritische Lücken in Cisco DNA gefährden ganze Netzwerke
Cisco stellt Patches für verschiedene Produkte bereit und schließt damit viele Sicherheitslücken.
Das Digital Network Architecture (DNA) Center von Cisco ist verwundbar und Angreifer könnten die volle Kontrolle über weitreichende Management-Funktionen der Netzwerkverwaltungssoftware erlangen. Updates lösen die Sicherheitsprobleme.
Darüber hinaus hat der Netzwerkausrüster noch weitere wichtige Sicherheitsupdates für beispielsweise Firewalls der Firepower-Serie und Adaptive Security Appliance veröffentlicht. In seinem Sicherheitscenter listet Cisco noch weitere bedrohte Produkte auf und stellt Informationen zu angreifbaren Versionen und abgesicherten Ausgaben bereit.
Feindliche Übernahme
Die zwei Lücken (CVE-2018-15386, CVE-2018-0448) in DNA stuft Cisco als "kritisch" ein. Darüber könnte ein entfernter Angreifer ohne Authentifizierung Zugriff auf DNA bekommen und zentrale Systemdateien verändern. Daran soll eine unsichere Standard-Konfiguration Schuld sein, führt der Netzwerkausrüster aus.
Im anderen Szenario könnte ein Angreifer ebenfalls über das Internet und ohne Anmeldung vollen Zugriff auf Management-Funktionen zum Verwalten von DNA-Nutzern erhalten. Dafür müsse er lediglich eine gültige Management-Anfrage an ein betroffenes System senden. Anschließend könnte ein Angreifer die Konten von Nutzern manipulieren oder neue anlegen. Aktualisierte DNA-Versionen schließen die Schwachstellen.
Einen Fehler im HTTP-Web-Server von Prime Infrastructure stuft Cisco ebenfalls als kritisch ein. Hier soll ein Angreifer in der Lage sein, Dateien hochzuladen und Code auszuführen. Dabei habe er aber keine Admin- oder Root-Rechte, versichert Cisco.
Noch mehr Sicherheitslücken
Sicherheitslücken in beispielsweise Adaptive Security Appliance, SD-WAN und Webex Network versieht Cisco mit dem Bedrohungsgrad "hoch". Ist ein Ausnutzen der Schwachstellen erfolgreich, könnten Angreifer Code ausführen, Sicherheitsmechanismen umgehen und Geräte per DoS-Attacke aus dem Verkehr ziehen.
Das Angriffsrisiko auf weitere Lücken in etwa HyperFlex HX, Industrial Network Director und Unity Connection bewertet Cisco mit "mittel". Die Schwachstellen sind beispielsweise Ansatzpunkte für XSS-Attacken.
Liste nach Bedrohungsgrad absteigend sortiert.
- Digital Network Architecture Center Unauthenticated Access
- Digital Network Architecture Center Authentication Bypass
- SD-WAN Solution Certificate Validation Bypass
- HyperFlex Software Static Signing Key
- Firepower System Software Detection Engine Denial of Service
- Adaptive Security Appliance Direct Memory Access Denial of Service
- Firepower Threat Defense Software FTP Inspection Denial of Service
- Firepower Management Center and Firepower System Software Sourcefire Tunnel Control Channel Command Execution
- Prime Collaboration Provisioning Intermittent Hard-Coded Password
- Webex Network Recording Player and Cisco Webex Player Remote Code Execution
- Prime Infrastructure Arbitrary File Upload and Command Execution
- Adaptive Security Appliance TCP Syslog Denial of Service
- Adaptive Security Appliance IPsec VPN Denial of Service
- IOS XR Software Border Gateway Protocol Denial of Service
- Integrated Management Controller Supervisor and Cisco UCS Director Authenticated Web Interface Information Disclosure
- Integrated Management Controller Supervisor and Cisco UCS Director System Resources Denial of Service
- Hosted Collaboration Mediation Fulfillment Cross-Site Request Forgery
- Cloud Services Platform 2100 Cross-Site Scripting
- Unified IP Phone 7900 Series Cross-Site Scripting
- Small Business 300 Series Managed Switches Cross-Site Scripting
- Webex Centers Cross-Site Scripting
- UCS Director Stored Cross-Site Scripting
- Adaptive Security Appliance Access Control List Bypass
- HyperFlex World-Readable Sensitive Information
- Remote PHY IPv4 Fragment Denial of Service
- HyperFlex HX Data Platform Software Unauthorized Directory Access
- Unity Connection Stored Cross-Site Scripting
- HyperFlex UI Clickjacking
- Vulnerabilities in Cisco Identity Services Engine
- Prime Infrastructure Information DisclosureIndustrial Network Director DHCP Request Processing Denial of Service
- Industrial Network Director Cross-Site Request Forgery
- Unity Connection File Upload Denial of Service
- Expressway Series and Cisco TelePresence Video Communication Server Remote Code Execution
- Cisco Unified Communications Products Open Redirect
(des)
