Sicherheitsupdates: Cisco repariert IOS, Webex & Co.
Es sind wichtige Patches für verschiedene Netzwerkgeräte und -Software von Cisco erschienen.
Der Netzwerkausrüster Cisco hat in seinen Produkten mehrere Sicherheitslücken geschlossen. Im schlimmsten Fall könnten entfernte Angreifer auf Geräte zugreifen und Schadcode ausführen. In den unten verlinkten Warnmeldungen findet man Infos zu bedrohten und abgesicherten Versionen.
Die gefährlichste Lücke (CVE-2019-16009) ist mit dem Bedrohungsgrad "hoch" eingestuft und macht Ciscos Betriebssysteme IOS und IOS XE angreifbar. Über eine CSRF-Attacke könnte ein unangemeldeter Angreifer aus der Ferne beispielsweise Befehle mit den Rechten des Opfers ausführen. Fehlerquelle ist hier das unzureichend abgesicherte Web UI.
Eine Schwachstelle (CVE-2019-16005) in Webex Video ist ebenfalls mit dem Agriffsrisiko versehen. Für eine erfolgreiche Attacke muss ein entfernter Angreifer angemeldet sein, könnte dann aber auf bedrohten Systemen Schadcode mit Root-Rechten ausführen. Hier schlummert der Fehler im webbasierten Managementsystem.
Weitere Sicherheitslücken
Die weiteren Schwachstellen sind mit dem Angriffsrisiko "mittel" versehen. Hier könnten Angreifer beispielsweise Webex Centers und Mobility Management Entity via DoS-Attacke ausknipsen. UCS Director könnte Daten leaken und bei Identity Services Engines könnten Angreifer Zugangskontrollen umgehen.
Liste nach Bedrohungsgrad absteigend sortiert:
- IOS and Cisco IOS XE Software Web UI Cross-Site Request Forgery
- Webex Video Mesh Node Command Injection
- Mobility Management Entity Denial of Service
- Unified Customer Voice Portal Insecure Direct Object Reference
- Vision Dynamic Signage Director Authentication Bypass
- Identity Services Engine Authorization Bypass
- Finesse Cross-Site Scripting
- Data Center Analytics Framework Cross-Site Scripting
- Crosswork Change Automation Cross-Site Scripting
- AnyConnect Secure Mobility Client for Android Service Hijack
- Webex Centers Denial of Service
- Emergency Responder Stored Cross-Site Scripting
- IP Phone 6800, 7800, and 8800 Series with Multiplatform Firmware Cross-Site Scripting
- UCS Director Information Disclosure
(des)