Cisco schließt drei kritische, aus der Ferne ausnutzbare Sicherheitslücken
Jetzt updaten: Im ACI Multi-Site Orchestrator (MSO), in der Application Services Engine und in Nexus-Switches klaff(t)en Remote-Lücken mit "Critical"-Wertung.
Netzwerkausrüster Cisco hat Sicherheitsupdates veröffentlicht, die drei Lücken mit "Critical"-, vier weitere mit "High"- sowie sechs mit "Medium"-Einstufung aus verschiedenen Produkten entfernen. Die kritischen Lücken sind durchweg aus der Ferne ohne Authentifizierung ausnutzbar. Zuständige Administratoren sollten zügig handeln.
Diese Meldung beschränkt sich auf die aktuellen Critical- und High-Einstufungen. Eine entsprechend gefilterte Suche in Ciscos Security-Center liefert eine Übersicht über separate "Medium"-Advisories.
Kritische Lücken remote angreifbar
Jene Sicherheitslücken, die als kritisch bewertet wurden, betreffen die Application-Hosting-Plattform Application Services Engine bis einschließlich Version 1.1(3d) sowie die ACI Multi-Site Orchestrator (MSO)-Software in Version 3.0. Letztere ist allerdings nur dann verwundbar, wenn sie auf der Application Services Engine installiert wurde. Ebenfalls angreifbar sind Nexus-Switches der 3000er- und 9000er-Serien, auf denen bestimmte (verwundbare) Versionen von Cisco NX-OS, nämlich 9.3(5) oder 9.3(6) laufen. Die 9000er Switches müssten für einen Angriff zusätzlich noch im Standalone NX-OS-Modus betrieben werden.
Alle drei Sicherheitslücken können von Angreifern aus der Ferne und ohne vorherige Authentifizierung ausgenutzt werden, um Dateizugriff mit Root-Rechten auf einem Gerät zu erlangen (CVE-2021-1361, NX-OS/Nexus-Switches), mit Admin-Rechten auf eine Programmierschnittstelle zuzugreifen (CVE-2021-1388, MSO) oder um ihre Rechte auszuweiten, System- und andere Informationen abzurufen und in beschränktem Umfang Konfigurationseinstellungen zu ändern (CVE-2021-1393, Application Services Engine).
Update- und weitere Informationen nennen Ciscos Security Advisories:
- CVE-2021-1361, NX-OS auf Nexus-Switches
- CVE-2021-1388, Cisco ACI Multi-Site Orchestrator (MSO)
- CVE-2021-1393 (+ Medium-Lücke CVE-2021-1396), Application Services Engine
"High"-Lücken in NX-OS und Nexus 9000
Zwei der Lücken hohen Schweregrads (CVE-2021-1227, CVE-2021-1387) fußen auf Programmierfehlern in der NX-API und dem IPv6-Stack in NX-OS. Je nach Konfiguration können verschiedene Geräte, die das Netzwerkbetriebssystem nutzen, angreifbar sein. Auch ein Missbrauch der "High"-Lücken erfordert keine vorherige Authentifizierung und funktioniert teils über das Internet, teils nur aus benachbarten Netzwerken. Denial-of-Service-Zustände (DoS), unbefugte Systemzugriffe und Konfigurationsänderungen an den Geräten sind einige der möglichen Angriffsfolgen.
Potenziell betroffene Geräte und für sie verfügbare Aktualisierungen können folgenden Advisories entnommen werden:
Die beiden verbleibenden "High"-Einstufungen gelten Sicherheitslücken in Nexus 9000 Switches im ACI-Modus in der Default-Konfiguration (CVE-2021-1228) beziehungsweise ebensolchen, wenn sie für das Border Gateway Protocol (BGP) konfiguriert wurden (CVE-2021-1230). Entfernte unauthentifizierte Angreifer können auch hier Sicherheitsmechanismen umgehen und DoS-Zustände provozieren. Updates stehen bereit.
(ovw)