Viele Sicherheitsupdates: Cisco patcht unter anderem kritische Lücke in Aironet
Angreifer könnten verschiedene Netzwerkgeräte und Software von Cisco attackieren und schlimmstenfalls die Kontrolle übernehmen.
Der Netzwerkausrüster Cisco hat wichtige Sicherheitsupdates für mehrere Produkte veröffentlicht. Eine Lücke in Aironet Access Points (APs) gilt als "kritisch". Fünf weitere Schwachstellen sind mit dem Bedrohnungsgrad "hoch" eingestuft. Die restlichen Sicherheitslücken sind mit der Risikoberwertung "mittel" versehen. Im Sicherheitscenter von Cisco findet man weitere Infos zu betroffen Produkten.
Setzen Angreifer an der kritischen Schwachstelle (CVE-2019-15260) in der APs-Software an, könnten sie auf Geräte zugreifen und beispielsweise die Konfiguration von Wireless-Netzwerken manipulieren. Darüber hinaus könnten sie auch mit dem AP verbundene Geräte per DoS-Attacke lahmlegen. Root-Zugriff soll aber nicht möglich sein. Angriffe sind Cisco zufolge aus der Ferne und ohne Anmeldung möglich.
Die mit dem Bedrohungsgrad hoch eingestuften Sicherheitslücken bedrohen ebenfalls APs und darüber hinaus noch Small Business Smart and Managed Switches, SPA100 Series Analog Telephone Adapters und Wireless LAN Controller. Hier könnten entfernte Angreifer beispielsweise Schadcode ausführen oder DoS-Attacken ausführen.
Noch mehr Schwachstellen
Nutzen Angreifer die Lücken in TelePresence Collaboration Endpoint Software aus, könnten sie am Ende mit erhöhten Nutzerrechten dastehen. Die Schwachstellen in Identity Services Engine könnten Daten leaken.
Liste nach Bedrohungsgrad absteigend sortiert:
- Aironet Access Points Unauthorized Access
- Wireless LAN Controller Secure Shell Denial of Service
- Aironet Access Points Point-to-Point Tunneling Protocol Denial of Service
- SPA100 Series Analog Telephone Adapters Remote Code Execution
- Small Business Smart and Managed Switches Cross-Site Request Forgery
- Aironet Access Points Bridge Protocol Data Unit Port Disable Denial of Service
- Aironet Access Points and Catalyst 9100 Access Points CAPWAP Denial of Service
- TelePresence Collaboration Endpoint Software Privilege Escalation
- SPA100 Series Analog Telephone Adapters Web Management Interface Denial of Service
- SPA100 Series Analog Telephone Adapters Web-Based Management Interface File Disclosure
- SPA100 Series Analog Telephone Adapters Running Configuration Information Disclosure
- SPA100 Series Analog Telephone Adapters Administrative Credentials Information Disclosure
- elePresence Collaboration Endpoint Software Privilege Escalation
- TelePresence Collaboration Endpoint Software Command Injection
- Expressway Series and TelePresence Video Communication Server Cross-Site Scripting
- Small Business Smart and Managed Switches Cross-Site Scripting
- TelePresence Collaboration Endpoint Software Arbitrary File Overwrite
- Identity Services Engine Stored Cross-Site Scripting
- Firepower Management Center Stored Cross-Site Scripting
- Identity Services Engine Multiple Stored Cross-Site
- SPA100 Series Analog Telephone Adapters Reflected
- SPA122 ATA with Router Devices DHCP Services Cross-Site Scripting
- Firepower Management Center Multiple Cross-Site Scripting
- Firepower Management Center Software Stored Cross-Site Scripting
- Identity Services Engine Stored Cross-Site Scripting
- Wireless LAN Controller Path Traversal
- TelePresence Collaboration Endpoint Software Arbitrary File Write
- Identity Services Engine Information Disclosure
(des)