Cisco beseitigt kritische Lücke aus Enterprise NFV Infrastructure Software
Jetzt updaten: Die Enterprise NFV Infrastructure Software (NFVIS) kann je nach Konfiguration aus der Ferne angreifbar sein. Aktualisierungen stehen bereit.
Cisco hat ein wichtiges Sicherheitsupdate für seine Enterprise NFV Infrastructure Software (NFVIS) veröffentlicht. Entfernte Angreifer könnten die als kritisch bewertete Lücke CVE-2021-34746 (CVSS-Score 9.8 von 10) missbrauchen, um die Authentifizierungsmechanismen der Software vollständig zu umgehen und sich als Administrator auf dem Gerät anzumelden, auf dem sie installiert ist.
Ciscos Advisory schränkt die Angriffsmöglichkeiten im Advisory zu CVE-2021-34746 allerdings ein wenig ein. Verwundbar ist demnach die NFVIS-Version 4.5.1 – und zwar nur dann, wenn die externe Authentifizierung via TACACS aktiviert ist. Die Schwachstelle stecke im "TACACS+ authentication, authorization and accounting (AAA)"-Feature. NFVIS-Versionen ab 4.6.1 aufwärts sind laut Cisco abgesichert.
TACACS-Konfiguration überprüfen
Die Rückgabe des Kommandozeilenbefehls show running-config tacacs-server verrät laut Advisory, ob die Authentifizierungsmethode aktiv ist: Liefert der Befehl "No entries found" zurück, ist TACACS deaktiviert. Alternativ kann man die Konfiguration auch über das GUI (Configuration > Host > Security > User and Roles > External Authentication) überprüfen. In beiden Fällen gilt: Ist ein TACACS+ Host definiert, so ist das betreffende Gerät verwundbar.
Ciscos Advisory zu CVE-2021-34746 zufolge ist Proof-of-Concept-Code für Angriffe auf die Sicherheitslücke öffentlich verfügbar. Allerdings habe man bislang nicht beobachtet, dass dieser auch tatsächlich aktiv für Angriffe verwendet worden wäre.
Aktuelle "Medium"-Advisories verfügbar
Neben dem Sicherheitshinweis zur kritischen Sicherheitslücke hat Cisco noch weitere Advisories und Updates für andere Produkte, nämlich für den Prime Infrastructure and Cisco Evolved Programmable Network (EPN) Manager, für Prime Collaboration Provisioning, die Identity Services Engine (ISE) und Nexus Insights veröffentlicht. Die Risiko-Einstufung lautet jeweils "Medium". Eine Übersicht über sämtliche Advisories bietet Ciscos Security-Center.
(ovw)