Sicherheitsupdates: Cisco kämpft gegen statische und unverschlüsselte Zugangsdaten

Wer Ciscos Elastic Services Controller (ESC) zum Managen von virtuellen Netzwerkoperationen oder den Automationsservice Ultra Services Framework (USF) nutzt, sollte zügig abgesicherte Versionen einspielen. In der Software klaffen mit dem Bedrohungsgrad "kritisch" und "hoch" eingestufte Sicherheitslücken. Angreifer könnten unter Umständen Systeme übernehmen.

Der ESC setzt von Werk aus auf statische Log-in-Daten. So könnte ein Angreifer diese Daten aus einer bestehenden Installation auslesen und sich damit über das Web-Interface an einem anderen ESC-System anmelden. Die Lücke ist in den aktuellen Versionen 2.3.1.434 und 2.3.2 geschlossen. Alle vorigen Ausgaben sollen bedroht sein.

Die zweite kritische Lücke klafft im AutoIT-Service des Staging Servers des USF. Ein Angreifer soll aus der Ferne ohne Authentifizierung mittels präparierter CLI-Kommandos Shell-Befehle mit Root-Rechten ausführen können. Hier schaffen die Versionen 5.0.3 und 5.1 Abhilfe. Die Schwachstelle bedroht Cisco zufolge alle vorigen Versionen. Zudem kümmern sich die aktuellen Versionen um eine unsichere Standardkonfiguration des Apache-ZooKeeper-Services. Darüber könnte ein Angreifer auf Geräte zugreifen.

Bedrohungsgrad "hoch"

Kann sich ein Angreifer am ESC als "tomcat"-Nutzer anmelden, soll er mittels Shell-Befehlen Dateien überschreiben und sich Root-Rechte erschleichen können. Ciscos StarOS überprüft Befehle nicht ausreichend, sodass ein lokaler und angemeldeter Angreifer Befehle mit Root-Rechten ausführen kann.

Aufgrund einer Verwundbarkeit gibt das AutoVNF-Tool des USF Anmeldedaten von Admins im Klartext preis. Zudem könnten Angreifer über einen Fehler in der symlink-Funktion des AutoVNF aus der Ferne und ohne Anmeldung Daten einsehen oder sogar Schadcode ausführen. (des)