Angreifer könnten Systeme mit Cisco Vision Dynamic Signage Director übernehmen
Der Netzwerkausrüster Cisco hat wichtige Sicherheitsupdates für verschiedene Produkte veröffentlicht.
Ciscos System zum Verteilen von Videos an TV-Gerätverbünde Vision Dynamic Signage Director (VDSD) ist über eine als "kritisch" eingestufte Sicherheitslücke (CVE-2019-1917) angreifbar. Sicherheitsupdates schaffen Abhilfe.
Darüber hinaus hat der Netzwerkausrüster noch abgesicherte Software für unter anderm verschiedene IP-Telefone, Switches und Router veröffentlicht. Die damit geschlossenen Schwachstellen sind mit dem Bedrohungsgrad "hoch" oder "mittel" eingestuft.
Mittels präparierter HTTP-Anfragen an die REST API von VDSDS könnte ein entfernter unangemeldeter Angreifer die Authentifizierung von zugrundeliegenden System komplett umgehen und so Admin-Rechte erhalten. Davor warnt Cisco in einer Sicherheitswarnung.
Weitere Schwachstellen
Des Weiteren weist die FindIT Network Management Software statische Zugangsdaten auf und ein Angreifer könnte so Root-Rechte erlangen. Die IOS Access Points Software 802.11r ist anfällig für DoS-Attacken. Außerdem könnten Angreifer noch Switches umleiten und auf einigen IP-Telefonen lokal Schadcode ausführen. Weitere Sicherheitslücken bieten Ansatzpunkte für XXS-Attacken. Auch eigentlich abgeschottete Informationen könnten nach einem erfolgreichen Angriff leaken.
Liste nach Bedrohungsgrad absteigend sortiert:
- Vision Dynamic Signage Director REST API Authentication Bypass
- FindIT Network Management Software Static Credentials
- IOS Access Points Software 802.11r Fast Transition Denial of Service
- Small Business SPA500 Series IP Phones Local Command Execution
- Identity Services Engine Cross-Site Scripting
- Industrial Network Director Web Services Management Agent Unauthorized Information Disclosure
- Small Business Series Switches Open Redirect
- Identity Services Engine Blind SQL Injection
(des)