Netzwerkausstatter: Zahlreiche Schwachstellen in Cisco-Produkten
Cisco warnt in mehreren Sicherheitsmeldungen vor Lücken in den Produkten. Außerdem listet das Unternehmen von der Spring-Framework-Lücke betroffene Lösungen.
(Bild: Carlo Toffolo/Shutterstock.com)
Der Netzwerkausrüster Cisco warnt vor Sicherheitslücken in einigen seiner Produkte. Zudem hat der Hersteller Sicherheitsmeldungen zur Schwachstelle im Spring-Framework veröffentlicht und aktualisiert. Darin finden Administratoren Listen von betroffenen und nicht verwundbaren Produkten. Künftig sollen anfällige Produkte Fehlerbehebungen dafür erhalten, bis jetzt sind Updates gegen die Lücke jedoch Mangelware.
In der ersten Sicherheitsmeldung untersucht Cisco die Geräte bezüglich der Sicherheitslücke im Spring Cloud Function Framework (CVE-2022-22963, CVSS 9.8, Risiko kritisch). Zur Erkennung von Angriffen auf die Schwachstelle stellt das Unternehmen Regeln für das Intrusion Detection System Snort bereit. Bislang hat es noch keine betroffenen Geräte gefunden, aber drei Produkte als nicht angreifbar einstufen können. Die Cisco-Meldung zur Spring-Framework-Lücke wartet mit längeren Listen auf (CVE-2022-22965, CVSS 9.8, kritisch). Es listet 28 Produkte aktuell in Untersuchung, 17 verwundbare Lösungen sowie 76 als nicht angreifbar eingestufte Produkte auf.
Mittleres Risiko
Sieben weitere Sicherheitsmeldungen beschreiben Fehler, die für Nutzer ein mittleres Risiko darstellen. So könnten Angreifer durch eine Cross-Site-Request-Forgery-Lücke Nutzer dazu verleiten, einen manipulierten Link anzuklicken und so die Konfiguration der Cisco IP Phones 6800, 7800 und 8800 zu verändern, was die Geräte lahmlegt (CVE-2022-20774, CVSS 6.8, mittel). Firmware 11.3.5 behebt den Fehler. In der Meldung beschreibt der Hersteller, wie Administratoren an das Paket gelangen können.
Durch eine Schwachstelle in der webbasierten Verwaltungsoberfläche von Ciscos Identity Services Engine (ISE) könnten authentifizierte Angreifer aus der Ferne unbefugt an sensible Daten gelangen (CVE-2022-20782, CVSS 6.5, mittel). Aktualisierte Software steht zur Verfügung. Aufgrund eines sicherheitsrelevanten Fehlers in der Web-Based Reputation Score (WBRS)-Engine der AsyncOS-Software für die Cisco Web Security Appliance (WSA) könnten nicht angemeldete Angreifer aus dem Netz Web-Zugriff-Richtlinien umgehen und auf eigentlich blockierte Inhalte zugreifen (CVE-2022-20784, CVSS 5.8, mittel).
Verwundbare Produkte
Weitere Lücken schließt ein Update für Ciscos Web Security Appliance (CVE-2022-20781, CVSS 5.4, mittel), ein weiteres in Cisco Webex Meetings (CVE-2022-20763, CVSS 5.4, mittel), noch eines in Cisco Secure Network Analytics Network Diagrams Application (CVE-2022-20741, CVSS 5.4, mittel) sowie Aktualisierungen für den TCP-IP-Stack mehrerer Geräte, die eine DoS-Schwachstelle im SNMP-Protokoll abdichten (CVE-2022-20675, CVSS 5.3, mittel).
IT-Verantwortliche sollten die Gegenmaßnahmen gegen die Spring-Framework-Lücken sehr zeitnah angehen, so das noch nicht geschehen ist. Für die anderen Sicherheitslücken sollten sie in naher Zukunft ein Wartungsfenster einplanen, um die Aktualisierungen herunterzuladen und auf die Geräte zu installieren.
Themenseite zu Cisco auf heise online
(dmk)
