Netzwerkausrüster: Kritische Sicherheitslücken in Mimosa-Geräten

Die US-Cybersicherheitsbehörde CISA warnt vor kritischen Sicherheitslücken in den Geräten der Marke Mimosa von Netzwerkausrüster Airspan Networks. Angreifer könnten dadurch Schadcode einschleusen und ausführen. Die auch in Deutschland vertriebenen Mimosa-Geräte dienen zum Aufbau von professionellen Funknetzwerken nach diversen Standards, von Wifi über 4G bis 5G. Damit können etwa Unternehmen Hochgeschwindigkeitsfunkstrecken zwischen Firmengebäuden herstellen.

Mehrere kritische Lücken

Von den sieben Sicherheitslücken, die die Industrial-Control-Systems-Abteilung (ICS) der CISA in auflistet, beträgt bei dreien das Risiko den höchstmöglichen Wert gemäß CVSS, nämlich 10.0. Dazu gehört eine unsachgemäße Authentifizierung beim Zugriff auf sogenannte API-Routes, aufgrund der Angreifer ohne Anmeldung darauf zugreifen und Code einschleusen können (CVE-2022-21196, CVSS 10.0, kritisch). Derselbe Fehler findet sich beim Zugriff auf API-Funktionen (CVE-2022-21141, CVSS 10.0, kritisch).

Zudem war es Angreifern möglich, durch Server Side Request Forgeries (SSRF) unautorisierte Anfragen ins Backend zu senden und so etwa auf Seiten zuzugreifen, die nur dem MMP-Server zugänglich sind oder selbst einige Aktionen auslösen könnten. Dadurch wären beispielsweise Routes auf Cloud-Hosting-Plattformen zugreifbar gewesen, ebenso geheime Schlüssel oder Konfigurationsänderungen und weiteres (CVE-2022-21215, CVSS 10.0, kritisch). Auch filterten die Geräte Benutzereingaben nicht korrekt, sodass Angreifer beliebige Kommandos einschleusen hätten können, die an das Betriebssystem durchgereicht werden (CVE-2022-21143, CVSS 9.8, kritisch).

Weiterhin filterten die Mimosa-Geräte abermals Benutzereingaben nicht ausreichend, was eine SQL-Injection-Lücke aufgerissen hat (CVE-2022-21176, CVSS 8.6, hoch). Bei der Deserialisierung von Daten überprüfte die Funktion die Daten nicht, wodurch Angreifer beliebige Klassen anlegen könnten (CVE-2022-0138, CVSS 7.5, hoch). Die letzte Schwachstelle sollte es schon lange nicht mehr geben: Die Mimosa-Geräte haben Passwörter lediglich mit dem bereits länger als unsicher geltenden MD5 gehasht. Und das auch noch ohne Salt. Das macht die Passwörter unnötig leicht zu knacken (CVE-2022-21800, CVSS 6.5, mittel).

Updates einrichten

Mimosa schließt die Schwachstellen in der Mimosa Management Platform MMP mit Version 1.0.4, in Geräten der Point-To-Point-C-Reihe (PTP C-Series) mit Softwarestand 2.90 sowie in der Point-To-Multi-Point-C-Serie (PTMP C-Series) und A5x in Softwarefassung 2.9.0 und natürlich neueren.

Die CISA verlinkt in ihrer Sicherheitsmeldung die obigen Aktualisierungen für die betroffenen Produkte. Sie sind jedoch Nutzern mit Benutzerkonto vorbehalten. Administratoren und IT-Verantwortliche sollten die Updates aufgrund der Schwere der Lücken rasch herunterladen und installieren.

(dmk)