Cisco ISE: Angreifer könnten Kontrolle übernehmen
Cisco warnt, dass Angreifer Dateien in der Identity Services Engine lesen und löschen könnten. Die Übernahme der Kontrolle über die Geräte könnte möglich sein.
(Bild: Michael Vi/Shutterstock.com)
Eine Schwachstelle in der Web-basierten Verwaltungsoberfläche der Cisco Identity Services Engine (ISE) könnte authentifizierten Angreifern aus dem Internet erlauben, Dateien auf einem verwundbaren Gerät auszulesen und zu löschen. Die US-amerikanische Sicherheitsbehörde CISA geht davon aus, dass Angreifer dadurch die Kontrolle über ein betroffenes System erlangen können.
Cisco warnt weiter, dass nach der Veröffentlichung der Warnung Proof-of-Concept-Exploit veröffentlicht wird, der das Ausnutzen der Schwachstelle demonstriert. Updates stehen bislang noch nicht bereit, sind jedoch angekündigt.
Mangelhafte Filterung
In einer Sicherheitsmeldung führt Cisco aus, dass Benutzereingaben nicht ausreichend geprüft würden. Durch das Senden manipulierter HTTP-Anfragen mit bestimmten Zeichenketten an ein betroffenes System ließe sich demnach die Sicherheitslücke missbrauchen. Das führe dazu, dass Angreifer nach einer erfolgreichen Attacke spezifische, nicht näher erläuterte Dateien lesen oder löschen könnten – auf die sie mit ihren konfigurierten Zugriffsrechten keinen Zugriff haben sollten (CVE-2022-20822, CVSS 7.1, Risiko "hoch").
Die Cyber-Sicherheitsbehörde CISA schätzt die Lücke schwerwiegender ein, weil Cyberkriminelle bei Angriffen die Kontrolle übernehmen könnten. Es handelt sich bei der Schwachstelle um eine sogenannte Path-Traversal-Schwachstelle.
Zudem sind die Cisco ISEs für eine Cross-Site-Scripting-Attacke anfällig. Durch unzureichende Filterung in der External RESTful Services (ERS) API könnten Angreifer mittels manipulierter Links, die potenzielle Opfer anklicken müssen, diesen beliebigen Script-Code unterschieben, der in ihrem Nutzerkontext zur Ausführung gelangt (CVE-2022-20959, CVSS 6.1, mittel).
Cisco schreibt in den Sicherheitsmeldungen, dass sich das Unternehmen bewusst sei, dass nach der Veröffentlichung der Sicherheitswarnung Proof-of-Concept-Code zur Demonstration der Ausnutzung der Lücke veröffentlicht würde. Unerfreulich, da der Hersteller weiter darauf hinweist, dass es für die Path-Traversal-Lücke keinen Workaround gibt, mit dem IT-Verantwortliche ohne Softwareupdate den Missbrauch der Schwachstelle verhindern könnten.
Workarounds und Updates
Die Path-Traversal-Schwachstelle betrifft die Cisco Identity Service Engine in Version 3.1 und 3.2; die ältere Fassung 3.0 ist Cisco zufolge nicht verwundbar. Cisco plant, im November die Aktualisierung auf Version 3.1P5 zu veröffentlichen. Administratoren des 3.2er-Versionszweiges müssen deutlich länger auf ein Update warten. Hier plant der Hersteller, die fehlerbereinigte Fassung 3.2P1 im Januar kommenden Jahres auszuliefern.
Die zweite Lücke behebt Cisco hingegen mit den Versionen 2.7P8, 3.0P7 (im Februar 2023 erwartet), 3.1P4 sowie 3.2P1 (für Januar 2023 angekündigt). Ältere Fassungen der ISE sind ebenfalls betroffen, erhalten jedoch keine Aktualisierungen mehr. Hier empfiehlt Cisco das Update auf eine noch unterstützte Software-Version. Zudem gibt es hierfür Workarounds, die der Hersteller in der Sicherheitsmeldung vorstellt.
Da Cisco von baldigem Auftauchen von Proof-of-Concept-Exploits ausgeht, sollten IT-Verantwortliche bereitstehende Update zügig herunterladen und installieren oder, wenn möglich, die vorgeschlagenen Workarounds umsetzen. Cisco-Geräte dienen cyberkriminellen Banden oftmals als Ziel für Einbrüche in Netzwerke. PoC-Code übernehmen die Cybergangs erfahrungsgemäß rasch in ihre Standard-Angriffstoolkits.
(dmk)