Sicherheitslücken in Sicherheitsmanagementsoftware von Cisco

Cisco hat ein Advisory veröffentlicht, in dem vor zwei Sicherheitslücken der Common Management Foundation (CMF) gewarnt wird, die Bestandteil der Managementsoftware CiscoWorks ist. Betroffen sind CiscoWorks CD One, Resource Manager Essentials 2.0, 2.1 und 2.2 sowie Cisco Resource Manager 1.0 und 1.1. Auf CiscoWorks CD One basieren alle Lösungen von Cisco zum Management von LANs, Routed WANs, Small Networks und VPN/Security. CiscoWorks dient zum Verwalten und Speichern von Daten über die Netzwerkkonfiguration. Beispielsweise kann man so die Konfigurationen von Routern und Switches zentral speichern.

Die erste Sicherheitslücke ermöglicht es einem Benutzer, ohne Authentifizierung als Administrator, Zugriff auf sämtliche Daten und Informationen zu erhalten. Werden im Kontext eines nicht-privilegierten oder eines Gast-Accounts spezielle HTTP-Requests an den Managementserver gesendet, so gibt dieser Information preis, die eigentlich nur als Administrator einsehbar sind. Desweiteren lassen sich damit aber auch Einstellungen innerhalb der Applikation verändern, zum Beispiel Netzwerkkonfigurationen und Benutzerkonten.

Eine weitere Schwachstelle kann von angemeldeten Benutzern zum Ausführen von beliebigen Kommandos auf dem Server mißbraucht werden. Auch hier sind dann Änderungen an Konfigurationen möglich. Cisco will bis Ende August Patches für CMF 2.0 und 2.1 zur Verfügung stellen, eine fehlerbereinigte Version 2.2 ist auf Ciscos Seiten für registrierte Benutzer verfügbar. (dab)