Alert!

Sicherheitsupdates: Wieder eine "vergessene" Hintertür in Cisco-Produkten

Angreifer könnten unter anderem Cisco vWAAS, Smart Software Manager und Video Surveillance 8000 Series attackieren.

In Pocket speichern vorlesen Druckansicht 142 Kommentare lesen
Sicherheitsupdates: Wieder eine "vergessene" Hintertür in Cisco-Produkten
Lesezeit: 3 Min.

Netzwerk-Admins mit Cisco-Geräten sollten die Software auf den aktuellen Stand bringen. Andernfalls könnten Angreifer die volle Kontrolle über Geräte erlangen und in Netzwerke schlüpfen.

Die gefährlichste Sicherheitslücke (CVE-20203446) ist als "kritisch" eingestuft und betrifft Cisco Virtual Wide Area Application Services (vWAAS) mit Cisco Enterprise NFV Infrastructure Software (NFVIS), die auf den Appliances CSP 5000-W und ENCS 5400-W zum Einsatz kommen.

Das Problem ist (wieder mal) ein Account mit einem statischen Passwort. Ein Angreifer mit Zugriff auf das NFVIS CLI kann sich so mit Admin-Rechten einloggen. Ein Sicherheitsupdate löst das Problem.

Die Schwachstellen (CVE-2020-3443, CVE-2020-3506) in Smart Software Manager On-Prem und Video Surveillance 8000 Series IP Cameras sind mit dem Bedrohungsgrad "hoch" eingestuft. Hier könnte ein Angreifer unter bestimmten Umständen Schadcode ausführen.

Die weiteren Lücken betreffen unter anderem Connected Mobile Experiences, Data Center Network Manager und Webex Meetings Desktop App für Windows. Alle Schwachstellen sind mit "mittel" eingestuft. Sind Attacken erfolgreich, könnten Angreifer beispielsweise Anmeldeverfahren umgehen und unrechtmäßig auf Daten zugreifen.

Admins sollten die folgenden Einträge in Ciscos Sicherheitscenter genau studieren. Kommen betroffene Geräte und Software zum Einsatz, sollten sie die Sicherheitsupdates zügig installieren.

Liste nach Bedrohungsgrad absteigen sortiert:

(des)