Sicherheitsupdates: Gefährliche Lücken in diversen Cisco-Netzwerkgeräten
Cisco hat wichtige Sicherheitspatches für verschiedene Produkte wie Adaptive Security Appliance und Webex Network Recording Player veröffentlicht.
- Dennis Schirrmacher
Mit in vielen Fällen vergleichsweise wenig Aufwand könnten entfernte Angreifer die volle Kontrolle über einige Netzwerkgeräte von Cisco erlangen. Sicherheitsupdates sind verfügbar. Admins sollten im Sicherheitscenter des Netzwerkausrüsters prüfen, ob ihre Geräte und Software von den Lücken betroffen sind und zügig handeln.
Die mit dem höchsten Bedrohungsgrad (CVSS Score 9.8 von 10) eingestufte Sicherheitslücke findet sich in der Enterprise NFV Infrastructure Software (NFVIS). Trotz der hohen Einstufung ist das Risiko der Schwachstelle (CVE-2019-1895) nur mit "hoch" gekennzeichnet. Aufgrund eines unzureichenden Authentifizierungsmechanismus könnte ein Angreifer eine VNC-Verbindung manipulieren und Cisco zufolge so Admin-Zugriff auf Geräte bekommen.
Cisco Adaptive Security Appliance (ASA) weist eine Schwachstelle (CVE-2019-1934) im Web-Management-Interface auf. Hier könnte ein angemeldeter entfernter Angreifer über HTTPS-Anfragen Admin-Funktionen ausführen. Das von der Lücke ausgehende Risiko gilt als "hoch".
Mit dieser Bewertung hat Cisco auch Lücken in IOS XR Software (CVE-2019-1910, CVE-2019-1918) und Webex Network Recording Player (CVE-2019-1924) eingestuft. Setzen Angreifer an den Schlupflöchern an, könnten sie im schlimmsten Fall Code ausführen oder Systeme via DoS-Attacke lahmlegen.
Weitere Sicherheitslücken
Noch mehr Schwachstellen in beispielsweise HyperFlex und Firepower Management Center sind mit dem Bedrohungsgrad "mittel" eingestuft. Ein erfolgreiches Ausnutzen verschafft Angreifern höhere Rechte oder versetzt sie in die Lage für XSS-Attacken.
Liste nach Bedrohungsgrad absteigend sortiert.
- Enterprise NFV Infrastructure Software VNC Authentication Bypass
- Adaptive Security Appliance Software Web-Based Management Interface Privilege Escalation
- Enterprise NFV Infrastructure Software Command Injection
- Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution
- IOS XR Software Intermediate System–to–Intermediate System Denial of Service
- IOS XR Software Intermediate System–to–Intermediate System Denial of Service
- Enterprise NFV Infrastructure Software Path Traversal
- Adaptive Security Appliance Smart Tunnel
- Enterprise NFV Infrastructure Software Privilege Escalation
- Enterprise NFV Infrastructure Software Web-Based Management Interface Authentication Bypass
- Enterprise NFV Infrastructure Software Password Recovery
- Firepower Threat Defense Software File Policy Bypass
- SD-WAN Solution Packet Filtering Bypass
- HyperFlex Software Cross-Site Request Forgery
- Email Security Appliance Header Injection
- IoT Field Network Director TLS Renegotiation Denial of Service
- Enterprise NFV Infrastructure Software Web Portal Arbitrary File Read
- Firepower Management Center Persistent Cross-Site Scripting
- Enterprise NFV Infrastructure Software Cross-site Scripting
- SPA112 2-Port Phone Adapter Stored Cross-Site Scripting
- Enterprise NFV Infrastructure Software Arbitrary File Read
- Webex Meetings Server Open Redirection
(des)