Cisco: Hochriskantes Sicherheitsleck in Unified Communications Manager
In der Unified Communications Manager-Software von Cisco klafft eine Sicherheitslücke mit hohem Risiko. Der Hersteller stellt Updates zum Schließen bereit.
(Bild: heise online)
In Ciscos Unified Communications Manager und Unified Communications Manager Session Management Edition könnten Angreifer SQL-Befehle einschleusen. Damit könnten sie das System kompromittieren. Cisco stellt Aktualisierungen bereit, um die Sicherheitslücken zu stopfen.
Der Hersteller erläutert, dass in der webbasierten Verwaltungsoberfläche der Cisco Unified CM und Cisco Unified CM SME authentifizierte bösartige Akteure aus dem Netz SQL-Injection-Angriffe ausführen könnten (CVE-2023-20010, CVSS 8.1, Risiko "hoch"). Dies liege an unzureichenden Überprüfungen von Nutzereingaben durch die Verwaltungsoberfläche – tiefer ins Detail geht Cisco in der Sicherheitsmeldung nicht.
Cisco-Lücke erlaubt Kompromittierung des Systems
Als Angriffsszenario erläutern die Autoren der Meldung, dass Angreifer sich bei der Anwendung als Benutzer mit geringen Rechten authentifizierten und manipulierte SQL-Abfragen an ein betroffenes System senden können. Ein erfolgreicher Angriff ermöglicht ihnen dann, beliebige Daten in der zugrunde liegenden Datenbank zu lesen oder zu ändern oder ihre Rechte zu erweitern. Damit könnten sie folglich die Kontrolle des Systems übernehmen.
Es gibt keine Übergangslösung zum Abmildern der Sicherheitslücke. Aktualisierte Software-Pakete stehen für Cisco Unified CM und Unified CM SME 12.5(1) mit der Fassung 12.5(1)SU7 sowie für 14 mit Version 14SU3 – das allerdings erst im März erscheinen soll – bereit. Diejenigen, die noch Version 11.5(1) einsetzen, sollen Cisco zufolge auf eine der beiden vorgenannten fehlerbereinigten Softwarestände migrieren.
Bislang hat Cisco keine Kenntnisse davon, dass die Lücke schon in freier Wildbahn bekannt ist oder gar ausgenutzt wird. Das Unternehmen legt Wert darauf, auf nicht betroffene Software hinzuweisen. So seien Emergency Responder, Finesse, Hosted Collaboration Mediation Fulfillment (HCM-F), Packaged Contact Center Enterprise (Packaged CCE), Prime Collaboration Deployment, Prime License Manager (PLM), SocialMiner, Unified Communications Manager IM & Presence Service (Unified CM IM&P), Unified Contact Center Domain Manager (Unified CCDM), Unified Contact Center Express (Unified CCX), Unified Contact Center Management Portal (Unified CCMP) und Unified Intelligence Center Unity Connection nicht verwundbar.
Erst kürzlich wurde eine Schwachstelle in Cisco-Routern bekannt, die bereits im Produktzyklus den End-of-Life-Status erreicht haben. Die betroffenen Geräte bekamen daher keine Updates mehr, die die Probleme beseitigen würden.
(dmk)
