Sicherheitsupdate: Cisco Network Assurance Engine mit Standardpasswort
Ein Patch räumt ein Sicherheitsproblem in Netzwerküberwachungssoftware von Cisco aus dem Weg.
Admins, die Netzwerke mit Cisco Network Assurance Engine (NAE) überwachen, sollten baldmöglichst die aktuelle Version installieren. Ansonsten könnte ein Angreifer mit vergleichsweise wenig Aufwand Server via DoS-Attacke lahmlegen und auf Informationen zugreifen.
Die einzige Voraussetzung für einen erfolgreichen Angriff ist, dass ein Angreifer lokalen Zugriff auf ein Netzwerk mit einer verwundbaren NAE-Version haben muss. Dann kann er sich mit einem Standard-Passwort als Admin anmelden.
Davon ist ausschließlich die NAE-Ausgabe 3.0(1) betroffen, wenn es sich um eine Neu-Installation handelt. Wer von einer älteren Version auf 3.0(1) aktualisiert, ist nicht bedroht, versichert Cisco in einer Warnmeldung. Die Ausgabe 3.0(1a) ist abgesichert.
Standardpasswort dauerhaft ändern
Das Problem ist, dass Passwortänderungen im Web-Management-Interface nicht ans Command-Line-Interface weitergegeben werden und das alte Kennwort gültig bleibt. Um die Schwachstelle (CVE-2019-1688) zu schließen muss man nach Installation der abgesicherten Version das Admin-Kennwort ändern. (des)
