Netzwerkhelferlein von Cisco: Mittels Standard-Kennwort zum Neustart
Cisco hat wichtige Sicherheitsupdates für verschiedene Produkte veröffentlicht. Keine Lücke gilt als kritisch.
Verschiedene Geräte und Software von Cisco sind verwundbar. So könnten Angreifer beispielsweise Meeting Server und Aironet Active Sensor lahmlegen. Zur Absicherung stellt der Netzwerkausrüster Updates zum Download bereit.
Cisco listet in seinem Sicherheitscenter weitere Infos zu betroffenen Produkten auf. Alle Schwachstellen sind mit dem Bedrohungsgrad "mittel" eingestuft.
Aufgrund eines lokalen Standard-Accounts mit statischen Zugangsdaten könnte sich ein Angreifer an Geräten der Serie Aironet Active Sensor anmelden. Dabei handelt es sich um Geräte, mit denen man Auslastungen in Netzwerken simulieren kann. In einer Warnmeldung versichert Cisco, dass ein Eindringling in dieser Position keine Daten einsehen oder Konfigurationen vornehmen kann. Es soll aber möglich sein, Geräte über diesen Account neu zu starten. Das könnten Angreifer für DoS-Attacken ausnutzen und Aironet Active Sensor auf diesem Weg außer Gefecht setzen.
Auch Meeting Server ist für DoS-Angriffe anfällig. Aufgrund einer mangelnden Überprüfung könnten Angreifer präparierte Session-Description-Protocol-Nachrichten (SDP) an verwundbare Server schicken und diese so aus dem Verkehr ziehen.
Noch mehr Lücken
Des Weiteren sind unter anderem noch Firepower Management Center, Identity Services und TelePresence Management Suite empfänglich für XSS-Angriffe emfänglich.
Liste nach Bedrohungsgrad absteigend sortiert.
- Aironet Active Sensor Static Credentials
- Meeting Server SIP Processing Denial of Service
- Firepower Management Center Cross-Site Scripting
- Identity Services Engine Multiple Cross-Site Scripting
- Unified Intelligence Center Software Cross-Site Scripting
- TelePresence Management Suite Cross-Site Scripting
- Cisco Unified Communications Products Reflected Cross-Site Scripting
- Web Security Appliance Decryption Policy Bypass
- Identity Services Engine Cross-Site Scripting
- TelePresence Management Suite Simple Object Access Protocol
- Webex Meetings for Android Cross-Site Scripting
- TelePresence Conductor, Cisco Expressway Series, and Cisco TelePresence Video Communication Server REST API Server-Side Request Forgery
- Webex Business Suite Content Injection
- Meeting Server Denial of Service
[UPDATE, 11.02.2019 17:05 Uhr]
Beschreibung von Aironet Active Sensor im Fließtext und Überschrift angepasst. (des)