Cisco: Update-Rundumschlag für zahlreiche Produkte
Auf Ciscos Patch-Liste standen diesmal in erster Linie IP-Telefone und Netzwerk-Switches. Die gefixten Lücken dürften manchem Admin bereits bekannt vorkommen.
Cisco hat Security Advisories zu insgesamt zehn Sicherheitslücken veröffentlicht. Fünf der durchweg mit dem Risikofaktor "High" bewerteten Lücken betreffen IP-Telefone der 7800er-, 8800er- und 9000er-Serie. Die übrigen stecken im herstellereigenen Netzwerk-Betriebssystem NX-OS, was zur Sicherheitsanfälligkeit NX-OS-basierter Geräte führt. Das sind vor allem Nexus-Switches, aber auch einige UCS Fabric Extender/Interconnects, "Firepower"-Firewalls und weitere Netzwerkkomponenten.
Altbekannte Baustellen
Die Schwachstellen in den IP-Telefonen befinden sich allesamt im webbasierten Management-Interface der Session Initiation Protocol (SIP)-Software. Sie sind durchweg aus der Ferne ausnutzbar und können Angreifern unter anderem Denial-of-Service (DoS)-Attacken und die Ausführung beliebigen Codes ermöglichen. Wieder einmal basiert eine der Lücken auf einem standardmäßig aktiven Account mit Default-Passwort. Bei Cisco wurde genau dieses Problem bereits im Februar sowie in der vergangenen Woche in Sicherheitshinweisen thematisiert. Für SIP-Schwachstellen gilt ähnliches.
Im Gegensatz zu den IP-Telefon-Lücken ist von den fünf NX-OS-Lücken nur eine aus der Ferne ausnutzbar. Die genannten Angriffsmöglichkeiten (DoS, Remote Code Execution) sind ähnlich – der Déjà-vu-Effekt in Bezug auf erst kürzlich veröffentlichte Cisco-Sicherheitshinweise auch.
Updates verfügbar
Für alle zehn Sicherheitslücken stehen Updates bereit, die Admins zügig einspielen sollten. Details zu den betroffenen Geräten und den notwendigen Aktualisierungsschritten sind den Sicherheitshinweisen zu entnehmen:
- IP Phone 8800 Series Path Traversal Vulnerability
- IP Phone 8800 Series File Upload Denial of Service Vulnerability
- IP Phone 8800 Series Authorization Bypass Vulnerability
- IP Phone 7800 Series and 8800 Series Remote Code Execution Vulnerability
- IP Phone 8800 Series Cross-Site Request Forgery Vulnerability
- Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Shell Escape Vulnerability
- NX-OS Software Unauthorized Filesystem Access Vulnerability
- NX-OS Software Cisco Fabric Services Denial of Service Vulnerability
- NX-OS Software Image Signature Verification Vulnerability
- NX-OS Software CLI Command Injection Vulnerability
(ovw)