Cisco: Ältere Snort-Schwachstelle machte mehrere Produkte angreifbar
Updates beseitigen eine Schwachstelle, die auf älteren Versionen des Network Intrusion Detection/Prevention-Systems Snort (vor 2.9.17 von November 2020) fußte.
Kaum eine Woche vergeht, in der Netzwerkausrüster Cisco nicht an seinen Produkten nachbessert. 13 neue Security Advisories vom gestrigen Mittwoch befassen sich unter anderem mit der Schwachstelle CVE-2021-1285, von der laut Hersteller ein hohes Risiko ausgeht: Ein unauthentifizierter Angreifer in einem benachbarten Netzwerk ("adjacent attacker") könnte unter bestimmten Vorausssetzungen einen dauerhaften Denial-of-Service-Zustand provozieren, der schlimmstenfalls ein manuelles Eingreifen des Cisco-Supports erfordert.
Gefährdet sind mehrere Produkte, in denen das quelloffene Network Intrusion Detection/Prevention-System Snort zum Einsatz kommt. Laut Cisco bestand die Verwundbarkeit in Snort-Releases vor 2.9.17 (aktuell ist 3.0). Für Ciscos Produkte stehen Software-Updates bereit, die zeitnah eingespielt werden sollten.
12 weitere Schwachstellen wurden mit "Medium" bewertet. Sie betreffen unter anderem den Network Services Orchestrator (NSO), die SD-WAN vManage-Software, WebEx Meetings, eine Reihe von IP-Telefonen, das Betriebssystem StarOS sowie die AsyncOS Software für Cisco Email Security Appliance (ESA) und Cisco Content Security Management Appliance (SMA). Eine gefilterte Suche in Ciscos Security-Center liefert eine vollständige Übersicht über die Medium-Schwachstellen zurück.
CVE-2021-1285: Betroffene Produkte und weitere Infos
Die Schwachstelle mit "High"-Einstufung steckt nach Ciscos Angaben in folgenden Produkten, sofern auf ihnen verwundbare Software-Versionen (Cisco UTD Snort IPS Engine Software for IOS XE / Cisco UTD Engine for IOS XE SD-WAN Software laufen:
- 1000 Series Integrated Services Routers (ISRs)
- 4000 Series Integrated Services Routers (ISRs)
- Catalyst 8000V Edge Software
- Catalyst 8200 Series Edge Platforms
- Catalyst 8300 Series Edge Platforms
- Cloud Services Router 1000V Series
- Integrated Services Virtual Router (ISRv)
Die Schwachstelle befindet sich im Ethernet Frame Decoder der Snort Detection Engine (in Snort-Versionen vor 2.9.17) und könnte von einem Angreifer ausgenutzt werden, indem dieser speziell präparierte Ethernet-Frames verschickt. Im Falle eines erfolgreichen Angriffs kann es auf verwundbaren Geräten zu Speicherknappheit kommen die wiederum dazu führt, dass sich Adminstratoren nicht mehr anmelden oder dass es zu Problemen beim Hochfahren kommt. Cisco weist darauf hin, dass in solch einem Fall ein manuelles Eingreifen des Cisco Technical Assistance Center (TAC) erforderlich sein kann.
Welche Software-Versionen angreifbar und welche abgesichert sind, können Kunden Ciscos Advisory zu CVE-2021-1285 entnehmen.
(ovw)