Angreifer könnten Kommunikationssoftware von Cisco lahmlegen
Es gibt wichtige Sicherheitsupdates für Cisco Unified Communications Manager, Webex Meetings Server & Co.
Verschiedene Software und Netzwerkgeräte von Cisco sind für Denial-of-Service-Attacken (DoS) anfällig. Über das Ausnutzen von Sicherheitslücken könnten Angreifer Anwendungen und Geräte zum Neustart bringen. Unter Umständen ist sogar die Ausführung von Schadcode denkbar. Updates schaffen Abhilfe.
Die Kommunikationssoftware Expressway, TelePresence und Unified Communications Manager sind über eine Schwachstelle (CVE-2019-1845) angreifbar, warnt Cisco in seinem Sicherheitscenter. Aufgrund von Fehlern bei bestimmten Speicheroperationen könnten Angreifer durch das alleinige versenden von präparierten XMPP-Authentifizierungsanfragen den kompletten Anmeldungsvorgang lahmlegen und so Nutzer von der Authentifizierung ausschließen. Das von der Lücke ausgehende Risiko hat Cisco mit "hoch" eingestuft.
Remote Code Execution
Das gilt auch für eine Schwachstelle (CVE-2019-1849) in der Software ISO XR. Damit arbeitende Geräte könnten nach erfolgreichen Angriffen abstürzen. Das Ausnutzen einer Lücke (CVE-2019-1861) in Industrial Network Director kann sogar zur Ausführung von Schadcode führen. Dafür muss ein Angreifer aber bereits Zugriff auf ein System haben. Dann könnte er aufgrund einer mangelnden Überprüfung Schadcode mit erhöhten Rechten ausführen.
Des Weiteren hat Cisco noch sieben weitere Lücken mit dem Bedrohungsgrad "mittel" in der genannten Software und Enterprise Chat and Email und Webex Meetings Server geschlossen.
Liste nach Bedrohungsgrad absteigend sortiert:
- Cisco Unified Communications Manager IM&P Service, Cisco TelePresence VCS, and Cisco Expressway Series Denial of Service
- Cisco IOS XR Software BGP MPLS-Based EVPN Denial of Service
- Cisco Industrial Network Director Remote Code Execution
- Cisco Enterprise Chat and Email Cross-Site Scripting
- Cisco Industrial Network Director Stored Cross-Site Scripting
- Cisco IOS XR Software Secure Shell Authentication
- Cisco Webex Meetings Server Information Disclosure
- Cisco TelePresence Video Communication Server and Cisco Expressway Series Server-Side Request Forgery
- Cisco Industrial Network Director Cross-Site Request Forgery
- Cisco Unified Computing System BIOS Signature Bypass
(des)