Cisco-Sicherheitsupdates: Webex-Meetings von Teilnehmern unbemerkt belauschbar
Angreifer könnten sich unter anderem Root-Rechte auf Cisco Systemen verschaffen, auf Back-End-Datenbanken zugreifen und Meetings kompromittieren.
Ciscos Netzwerk-Management-Software DNA Spaces Connector, Integrated Management Controller (IMC) und IoT Field Network Director (FND) sind über als "kritisch" eingestufte Sicherheitslücken attackierbar. Außerdem könnten sich Angreifer heimlich in Webex-Meetings schleichen. Sicherheitsupdates sind verfügbar.
Kritische Lücken
Am gefährlichsten gilt die Schwachstelle (CVE-2020-3470) in IMC. Hier kann es bei der Verarbeitung von HTTP-Anfragen zu Problemen kommen, was in Speicherfehlern resultiert. Ist das der Fall, könnten Angreifer ohne Authentifizierung Schacode mit Root-Rechten im zugrundeliegenden Betriebssystem ausführen.
Durch das erfolgreiche Ausnutzen der Lücke (CVE-2020-3531) in FND könnten entfernte und nicht angemeldete Angreifer aufgrund eine unzureichenden Authentifizierung bei REST API Calls auf die Back-End-Datenbank zugreifen und diese verändern.
Da die Managementkonsole von DNA Spaces Connector Nutzereingaben nicht ausreichend prüft (CVE-2020-3586) , könnten Angreifer eigene Befehlen auf verwundbaren Geräte ausführen.
Webex-Spion
Aufgrund einer Schwachstelle (CVE-2020-3419) könnten Angreifer bei Webex-Meetings zugegen sein, ohne in der Teilnehmerliste aufzutauchen. Als "Geist" vor den anderen Teilnehmern verborgen könnten Angreifer unter anderem Audio- und Videoinhalte belauschen. Das ist aber einer Warnmeldung von Cisco zufolge nur möglich, wenn Angreifer Zugang zu Meetings in Form von Teilnahme-Links nebst Passwort haben. Dementsprechend ist die Lücke "nur" mit "mittel" eingestuft.
Weitere Schwachstellen betreffen Expressway Software, Secure Web Appliance und Telepresence CE Software. Hier könnten Angreifer beispielsweise unberechtigt auf Informationen zugreifen oder sich höhere Nutzerrechte aneignen.
Liste nach Bedrohungsgrad absteigend sortiert:
- Integrated Management Controller Multiple Remote Code Execution
- IoT Field Network Director Unauthenticated REST API
- DNA Spaces Connector Command Injection
- IoT Field Network Director SOAP API Authorization Bypass
- IoT Field Network Director Missing API Authentication
- Webex Meetings and Cisco Webex Meetings Server Ghost Join
- Webex Meetings and Cisco Webex Meetings Server Unauthorized Audio Information Exposure
- Expressway Software Unauthorized Access Information Disclosure
- IoT Field Network REST API Insufficient Input Validation
- Webex Meetings API Cross-Site Scripting
- IoT Field Network Director Cross-Site Scripting
- Telepresence CE Software and RoomOS Software Unauthorized Token Generation
- Secure Web Appliance Privilege Escalation
- Webex Meetings and Cisco Webex Meetings Server Information Disclosure
- IoT Field Network Director Information Disclosure
- IoT Field Network Director Improper Access Control
- IoT Field Network Director File Overwrite
- IoT Field Network Director Improper Domain Access Control
- IoT Field Network Director Unprotected Storage of Credentials
(des)