Cisco schließt Root-Lücke in Intersight Virtual Appliance
Der Netzwerkausrüster Cisco hat für verschiedene Software wichtige Sicherheitsupdates veröffentlicht.
Admins von Cisco-Hardware sollten die Software der Geräte aus Sicherheitsgründen auf Aktualität prüfen. Andernfalls könnten Angreifer nach erfolgreichen Attacken in zwei Fällen Schadcode mit Root-Rechten ausführen. Klappt das, gelten Geräte in der Regel als vollständig kompromittiert.
Schadcode-Schwachstellen
Die eine Root-Lücke (CVE-2021-34748 „hoch“) betrifft die Infrastruktur-Managementsoftware Intersight Virtual Appliance. Aufgrund einer unzureichenden Prüfung von Eingaben könnten entfernte Angreifer am webbasierten Management-Interface ansetzen und durch spezielle Eingaben Schadcode auf Systeme schieben und mit Root-Rechten ausführen. Davon sollen ausschließlich die Versionen 1.0.9-150 bis 1.0.9-292 bedroht sein. Die Entwickler geben an, die Ausgabe 1.0.9-302 gegen solche Attacken gerüstet zu haben.
Die zweite Root-Lücke (CVE-2021-34788 „hoch“) betrifft AnyConnect Secure Mobility Client für Linux und macOS. Da die Signatur-Verifizierung fehlerhaft ist, könnten authentifizierte lokale Angreifer Schadcode ausführen.
Auch gefährlich
Weitere mit dem Bedrohungsgrad „hoch“ eingestufte Schwachstellen betreffen ATA 190 Series Telephone Adapter Software, Identity Services Engine, Small Business 220 Series Smart Switches und Web Security Appliance. Hier könnten Angreifer nach erfolgreichen Attacken eigene Befehle ausführen oder DoS-Zustände auslösen.
Für die verbleibenden Schwachstellen gilt der Bedrohungsgrad „mittel“. Davon sind unter anderem DNA Center Information und Email Security Appliance betroffen. Sind Attacken erfolgreich, könnten Angreifer beispielsweise eigentlich abgeschottete Informationen einsehen. Weitere Informationen zu den Lücken und Sicherheitspatches finden Admins in der Liste unterhalb dieser Meldung.
Liste nach Bedrohungsgrad absteigend sortiert:
- Intersight Virtual Appliance Command Injection
- Small Business 220 Series Smart Switches Link Layer Discovery Protocol
- ATA 190 Series Analog Telephone Adapter Software
- Web Security Appliance Proxy Service Denial of Service
- Identity Services Engine Privilege Escalation
- AnyConnect Secure Mobility Client for Linux and Mac OS with VPN Posture (HostScan) Module Shared Library Hijacking
- Identity Services Engine XML External Entity Injection
- Vision Dynamic Signage Director Reflected Cross-Site Scripting
- Email Security Appliance URL Filtering Bypass
- Business 220 Series Smart Switches Static Key and Password
- IP Phone Software Arbitrary File Read
- Smart Software Manager Privilege Escalation
- TelePresence Collaboration Endpoint and RoomOS Software Denial of Service
- Orbital Open Redirect
- Identity Services Engine Sensitive Information Disclosure
- DNA Center Information Disclosure
(des)
