Sicherheitspatch: Angreifer könnten Videoüberwachungssystem von Cisco übernehmen
Wichtige Updates schließen Sicherheitslücken in Cisco Video Surveillance Manager und Webex.
In Cisco Videoüberwachungssystem Video Surveillance Manager klafft eine als kritisch eingestufte Sicherheitslücke. Angreifer könnten Systeme mit vergleichsweise geringem Aufwand aus der Ferne komplett übernehmen. Auch die Konferenz- und Screen-Sharing-Software Webex ist verwundbar und Angreifer könnten Attacken ebenfalls über das Internet einleiten. Sicherheitsupdates schließen die Sicherheitslücken.
Der unberechtigte Zugriff auf Video Surveillance gelingt über einen von Cisco bislang undokumentierten Nutzer-Account mit statischen Zugangsdaten und Root-Rechten. Welche Versionen von der Lücke (CVE-2018-15427) betroffen und welche Ausgaben abgesichert sind, listet Cisco in einer Sicherheitswarnung auf.
Aufgrund einer unzureichenden Überprüfung von mit Webex aufgenommenen Dateien, könnten Angreifer Schadcode auf bedrohten Systemen ausführen. Dafür müsste ein Opfer aber eine von einem Angreifer präparierte Webex-Datei öffnen. Weitere Hinweise zu verwundbaren Versionen und Updates kann man im Sicherheitscenter von Cisco nachlesen. In den gepatchten Ausgaben haben die Entwickler mehrere Schwachstellen (CVE-2018-15414, CVE-2018-15421, CVE-2018-15422) geschlossen. (des)
