Kritische Lücke mit Höchstwertung in Cisco Elastic Services Controller

Ein wichtiges Sicherheitsupdate schließt eine Schwachstelle in Cisco-Software zum Verwalten von virtuellen Netzwerkumgebungen.

In Pocket speichern vorlesen Druckansicht
Kritische Lücke mit Höchstwertung in Cisco Elastic Services Controller

(Bild: geralt)

Lesezeit: 1 Min.

Netzwerk-Admins sollten zügig Ciscos Elastic Services Controller (ESC) aktualisieren. Die Software ist über eine Sicherheitslücke (CVE-2019-1867) attackierbar und Angreifer könnten mit vergleichsweise wenig Aufwand Schadcode ausführen. Die Lücke ist mit dem Bedrohungsgrad "kritisch" (CVSS Score 10 von 10) eingestuft.

Cisco ESC ist eine Managementsoftware für virtuelle Netzwerke. Darüber kann man beispielsweise die Laufzeit von Netzwerkfunktionen und Services automatisiert steuern. Außerdem bringt ESC Recoveryfunktionen für abgestürzte virtuelle Maschinen mit.

Einer Sicherheitswarnung von Cisco zufolge sind die Versionen 4.1, 4.2, 4.3 und 4.4 bedroht, wenn die REST API aktiviert ist. Standardmäßig ist das nicht der Fall. In der Warnung kann man nachlesen, wie man prüft, ob die REST API läuft. Dort stehen auch die Versionsnummern der abgesicherten Releases.

Weil die API Anfragen nicht korrekt überprüft, könnten präparierte Anfragen von Angreifern ohne Authentifizierung aus der Ferne durchgehen. Anschließend sollen Angreifer in der Lage sein, auf betroffenen Systemen Schadcode mit Admin-Rechten ausführen zu können. (des)