Cisco Sicherheitsupdates: Jabber + präparierte Nachricht = Schadcode
Cisco hat Sicherheitsupdates für unter anderem Jabber, IOS XR und Webex Meetings veröffentlicht.
Wenn der Windows-Client von Cisco Jabber in Unternehmen zum Einsatz kommt, sollten Admins die Anwendung aktualisieren. Andernfalls könnten Angreifer den Chat-Client attackieren und im schlimmsten Fall mit vergleichsweise wenig Aufwand Schadcode auf Computern ausführen.
Um die als "kritisch" eingestufte Jabber-Lücke (CVE-2020-3495) erfolgreich auszunutzen, müssen Angreifer Cisco zufolge lediglich präparierte Extensible-Messaging-and-Presence-Protocol-Nachrichten (XMPP) verschicken. Aufgrund einer unzureichenden Prüfung könnten sie so Schadcode mit den Nutzerrechten des Opfers ausführen.
Für eine weitere Attacke auf Jabber müsste ein Opfer nur auf einen Link klicken und Angreifer könnten anschließend eigene Befehle auf Systemen ausführen. Das von der Lücke (CVE-2020-3430) ausgehende Risiko ist als "hoch" eingestuft. Diese Einschätzung gilt auch für die beiden Schwachstellen (CVE-2020-3473, CVE-2020-3530) im Router-Betriebssystem IOS XR. Hier könnten sich bereits authentifizierte Angreifer zu Admins hochstufen.
Bedrohungsgrad "mittel"
Weitere Schwachstellen betreffen Email Security Appliance, Enterprise NFC Infrastructure, FXOS, Small Business RV340 Series Router, und Webex Meetings/Training. Setzen Angreifer an den Lücken erfolgreich an, könnten sie zum Beispiel Informationen leaken oder Software per DoS-Attacke abschießen.
Liste nach Bedrohungsgrad absteigend sortiert:
- Jabber for Windows Message Handling Arbitrary Code Execution
- Jabber for Windows Protocol Handler Command Injection
- IOS XR Authenticated User Privilege Escalation
- Enterprise NFV Infrastructure Software File Overwrite
- IOS XR Software Authenticated User Privilege Escalation
- Jabber for Windows Information Disclosure
- FXOS Software Buffer Overflow
- Jabber for Windows Universal Naming Convention Link Handling
- Webex Training Unauthorized Meeting Join
- Email Security Appliance Denial of Service
- Email Security Appliance Information Disclosure
- Small Business RV340 Series Routers Command Injection and Remote Code Execution
- Webex Meetings Client for Windows, Webex Meetings Desktop App, and Webex Teams Information Disclosure
- Email Security Appliance, Cisco Content Security Management Appliance, and Cisco Web Security Appliance Information Disclosure
- Enterprise NFV Infrastructure Software Path Traversal
(des)
