Cisco veröffentlicht Sicherheitsupdates und -hinweise für mehrere Produkte

Updates – unter anderem für Firepower-Software und ASA – fixen Lücken mit hoher Risiko-Einstufung. Und es gibt ein Security Advisory zu Webex Meetings.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
Cisco veröffentlicht wichtige Sicherheitsupdates für mehrere Produkte
Lesezeit: 2 Min.

Netzwerkausrüster Cisco hat Sicherheitslücken hohen und mittleren Schweregrads in mehreren Produkten beseitigt. Über die Lücken hätten Angreifer (teils aus der Ferne und ohne vorherige Authentifizierung) beliebigen Code ausführen, ihre Zugriffsrechte ausweiten oder Denial-of-Service-Angriffe durchführen können. Updates stehen bereit und sollten zeitnah eingespielt werden.

Insgesamt hat Cisco 13 Security Advisories mit "High"-Einstufung veröffentlicht. Sie betreffen unter anderem die Firepower-Softwareprodukte Management Center (FMC) und Threat Defense (FTD) und das Betriebssystem FXOS, Adaptive Security Appliance (ASA) sowie das webbasierte Interface mehrer Cisco-Unified-Communications-Produkte.

Weitere 20 Sicherheitslücken mit "Medium"-Einstufung stecken beispielsweise im Unified Communication Center und Unified Contact Manager, im Security Manager, in der Prime Infrastructure sowie in der AsyncOS-Software für Cisco Email Security Appliance (ESA).

Update-Hinweise und detaillierte Informationen zu den Sicherheitslücken sind den verlinkten Security Advisories zu entnehmen.

Keine Updates, aber zumindest einen Sicherheitshinweis hat Cisco zur Web-Konferenz-Plattform Webex Meetings veröffentlicht. Er bezieht sich auf ein mögliches Angriffszenario, das ein Sicherheitsforscher entdeckt und an Cisco gemeldet hat. Ausdrücklich nicht davon betroffen ist Webex Meeting Server (CWMS).

Laut Sicherheitshinweis zielt der Angriff auf die neunstellige ID, die Webex zu Beginn jeder Webkonferenz für jeden eingeladenen Teilnehmer generiert. Unter Eingabe dieser Zahlenfolge ist es den Eingeladenen möglich, einem Meeting beizutreten.

Ein Angreifer könnte nun mittels automatisierter Anfragen an die Webex-API herausfinden, welche IDs für das aktuelle Meeting verwendet werden ("Enumeration Attack"). Zusätzlich kann er auch abfragen, ob das aktuelle Meeting passwortgeschützt ist. Ist dies nicht der Fall, könnte er dem Meeting ohne vorherige Einladung beitreten. Da er allerdings dennoch als regulärer Teilnehmer aufgelistet würde, wäre es dem Veranstalter seinerseits auch möglich, ihn wieder hinauszuwerfen.

Da der zusätzliche Passwortschutz für jedes Meeting per Default aktiviert ist, und der Angriff nur dann funktioniert, wenn dieser nachträglich deaktiviert wurde, hält Cisco es nicht für notwendig, mittels Updates nachzubessern. Vielmehr rät das Unternehmen Webex-Nutzern dazu, die Default-Einstellungen einfach beizubehalten beziehungsweise wiederherzustellen. (ovw)