Jetzt updaten: Cisco bessert bei der Sicherheit seines "Security Managers" nach
Dank Lücken mit "High" und "Critical"-Einstufung war Ciscos Security Manager der Sicherheit eher abträglich. Software-Updates sind jetzt teilweise verfügbar.
Drei Lücken mach(t)en Ciscos Security Manager zur zentralen Verwaltung und Überwachung von Sicherheitsprodukten unsicher. Angreifer hätten sie missbrauchen können, um aus der Ferne und ohne Authentifizierung vertrauliche Informationen abzugreifen oder beliebige Befehle auf verwundbaren Systemen auszuführen.
Für die Angreifbarkeit der Software waren fest im Code hinterlegte (und dazu noch schlecht geschützte) Zugangsdaten, Sicherheitsmängel bei der Verarbeitung übermittelter Inhalte (Java-Deserialisierung) und unzureichende Validierungsmechanismen bei Pfadangaben (Path Traversal) verantwortlich. Das Sicherheitsrisiko hat Cisco in einem Fall als "kritisch", in den beiden anderen als "hoch" bewertet.
Ein Update steht noch aus
Verwundbar über alle drei Lücken sind Cisco Security Manager-Releases bis einschließlich 4.21. Vor zwei Angriffsmöglichkeiten (CVE-2020-27130/CVSS-Score 9.1, "Critical" und CVE-2020-27125/CVSS 7.4, "High") schützt laut Ciscos aktuellen Security Advisories ein Update auf die neue Security Manager-Version 4.22. Die dritte Lücke (CVE-2020-27131/CVSS 8.1, "High") ist allerdings noch immer vorhanden: Sie soll erst in der kommenden Version 4.23 beseitigt werden. Workarounds nennt Cisco im Advisory nicht.
- Security Manager Path Traversal Vulnerability (CVE-2020-27130, "Critical")
- Security Manager Static Credential Vulnerability (CVE-2020-27125, "High")
- Security Manager Java Deserialization Vulnerabilities (CVE-2020-27131, "High")
(ovw)