Cisco schließt kritische Lücken in Small Business Smart Switches der Serie 220

Cisco hat bei Switches für kleine und mittlere Unternehmen nachgebessert und dabei insgesamt drei Lücken eliminiert.

In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen
Cisco schließt kritische Lücken in Smart Switches der Serie 220
Lesezeit: 1 Min.

Wieder einmal hat Netzwerkausrüster Cisco wichtige Sicherheitsupdates veröffentlicht. Diesmal schließen sie zwei als "kritisch" eingestufte Sicherheitslücken im webbasierten Management-Interface von Small Business 220 Smart Switches, die vor allem in kleinen und mittleren Unternehmen zum Einsatz kommen.

Beide Lücken sind laut Ciscos Security Advisories aus der Ferne und ohne vorherige Authentifizierung ausnutzbar. CVE-2019-1912 erlaubt das Hochladen beliebiger Dateien und via CVE-2019-1913 lässt sich ein Buffer-Overflow verursachen, der die anschließende Ausführung beliebigen Codes mit Root-Rechten ermöglicht. Exploits funktionieren jeweils mittels speziell präparierter HTTP(S)-Requests an das Web Management Interface.

Über beide Sicherheitslücken angreifbar sind Switches, auf denen eine Firmware-Version vor 1.1.4.4 läuft und für die das verwundbare Web-Interface aktiviert ist. Wie man herausfindet, ob dies der Fall ist und wie man die Geräte aktualisiert, beschreibt Cisco in den Advisories zu CVE-2019-1912 beziehungsweise zu CVE-2019-1913.

Cisco hat noch einen weiteren Sicherheitshinweis für Small Business 220 Smart Switches veröffentlicht. Die darin beschriebene Lücke (CVE-2019-1914) stuft der Hersteller allerdings lediglich mit dem Schweregrad "Medium" ein. Sie betrifft ebenfalls alle Firmware-Versionen vor 1.1.4.4. (ovw)