Cisco schließt zwei kritische und zahlreiche weitere Schwachstellen
Updates für Ciscos SD-WAN-Lösung und DNA Center beseitigen kritische Sicherheitsprobleme. Aber auch zahlreiche weitere Produkte wurden frisch gepatcht.
Netzwerkausrüster Cisco hat am gestrigen Mittwoch insgesamt 25 Sicherheitshinweise zu verschiedenen Produkten veröffentlicht. Sieben von ihnen beziehen sich auf Schwachstellen mit hohem Sicherheitsrisiko; zwei Schwachstellen gelten gar als kritisch.
Vor den insgesamt neun Schwachstellen mit "High"- bis "Critical"-Bewertung warnt auch das US-CERT. Sie stecken in Ciscos SD-WAN-Lösung, der DNA-Center-Plattform, StarOS, der Videokonferenz-Plattform TelePresence, den Management-Interfaces der Router RV110W, RV130W und RV215W, Prime Service Catalog und dem Kommandozeilen-Interface (CLI) von Meeting Server. Einige der Schwachstellen können aus der Ferne und ohne vorherige Authentifizierung ausgenutzt werden, um etwa Denial-of-Service-Zustände auszulösen oder Authentifizierungsmechanismen zu umgehen.
Besitzer potenziell betroffener Geräte beziehungsweise Software finden in Ciscos Sicherheitshinweisen Details zu verwundbaren Versionen, Workarounds und verfügbaren Updates.
Einstufung "Critical": DNA Center und SD-WAN Solution
Eine der als kritisch eingestuften Schwachstellen betrifft den Authentifizierungsmechanismus des DNA Centers ( CVE-2019-1848). Laut Ciscos Advisory ist CVE-2019-1848 aus benachbarten Netzwerken ohne Authentifizierung ausnutzbar. Unter Umgehung des besagten Mechanismus könnte sich ein Angreifer Zugriff auf kritische Infrastrukturen verschaffen. Betroffen seien alle Software-Releases vor Version 1.3. Updates für DNA Center sind im Software-Center verfügbarr und können wie gewohnt durch registrierte Nutzer heruntergeladen werden.
Auch für die zweite kritische Schwachstelle gibt es Updates im Software-Center: CVE-2019-1625 befindet sich im CLI von Ciscos SD-WAN-Solution und erlaubt einem lokalen, angemeldeten Angreifer das Erlangen von root-Rechten. Betroffen sind laut Ciscos Sicherheitshinweis die Softwareprodukte vBond Orchestrator, vManage Network Management und vSmart Controller, die vEdge Cloud Router Plattform sowie Router der Serien vEdge 100, 1000, 2000 und 5000 – jeweils unter der Voraussetzung, dass darauf eine SD-WAN-Solution-Version vor den abgesicherten Versionen 18.3.6, 18.4.1 oder 19.1.0 läuft. (ovw)
