Cisco: Angreifer können Befehle auf IP-Telefonen ausführen, Update kommt nicht
Für kritische Lücken in Cisco-IP-Telefonen wird es keine Updates geben. Für eine jüngst gemeldete Lücke ist ein Proof-of-Concept-Exploit aufgetaucht.
Schwachstellen bedrohen Cisco-Geräte.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Cisco hat Sicherheitswarnungen zu bestimmten IP-Telefonen veröffentlicht. Angreifer können Befehle darauf ausführen oder sie mit DoS-Angriffen lahmlegen. Zudem warnt das Unternehmen vor Cross-Site-Scripting-Schwachstellen in Ciscos ISE. Für eine kürzlich gemeldete Sicherheitslücke ist inzwischen außerdem ein Proof-of-Concept-Exploit aufgetaucht.
Alte Cisco-IP-Telefone bleiben verwundbar
Gleich drei als kritisch eingestufte Sicherheitslücken erlauben Angreifern, dem Webinterface der SPA300- und SPA500-Baureihen von Ciscos IP-Telefonen beliebige Befehle unterzujubeln (CVE-2024-20450, CVE-2024-20452, CVE-2024-20454; CVSS 9.8, Risiko "kritisch"). Außerdem ermöglichen zwei weitere Lücken im Webinterface, die Geräte mittels DoS-Angriff lahmzulegen (CVE-2024-20451, CVE-2024-20453; CVSS 7.5, hoch).
Wer diese Geräte einsetzt, sollte sie zügig dem Recycling zuführen, denn Cisco schreibt in der Sicherheitsmitteilung, dass es keinen Workaround gebe – und auch keine aktualisierte Software zum Schließen der Lücken. Die Produkte sind demnach am Ende ihres Lebenszyklus angelangt.
Videos by heise
Mitte Juli wurde eine kritische Sicherheitslücke in Ciscos Smart Software Manager On-Prem (SSM On-Prem) bekannt. Angreifer können dadurch ohne vorherige Authentifizierung Passwörter von Nutzerkonten – einschließlich des Administratorkontos – ändern und so die Systeme kompromittieren (CVE-2024-20419, CVSS 10, kritisch). Cisco hat jetzt die Sicherheitsmitteilung aktualisiert: Es gibt mindestens einen Proof-of-Concept-Exploit, der das Ausnutzen der Schwachstelle demonstriert. Damit ist zu erwarten, dass Cyberkriminelle diesen Angriff in ihren Baukasten aufnehmen und in Kürze in freier Wildbahn attackieren werden. IT-Verantwortliche sollten spätestens jetzt die bereitstehenden Updates installieren.
In der Cisco Identity Services Engine (ISE) können authentifizierte Angreifer aus der Ferne zudem Cross-Site-Scripting-Attacken gegen Nutzer der webbasierten Verwaltungsoberfläche starten (CVE-2024-20443, CVSS 5.4, mittel; CVE-2024-20479, CVSS 4.8, mittel). Dadurch können sie beliebigen Skript-Code im Kontext der Verwaltungsoberfläche ausführen oder sensible Informationen abgreifen. Für die erste Lücke sind niedrige Nutzerrechte für Angreifer nötig, für die zweite hingegen Admin-Rechte. Laut der Sicherheitsmitteilung von Cisco müssen IT-Verantwortliche Cisco ISEs der Versionen 2.7 und 3.0 auf einen unterstützten Software-Stand bringen. Für die zudem verwundbaren Versionen 3.1, 3.2 und 3.3 stehen Updates bereit (für 3.2 erst im September), 3.4 ist nicht betroffen.
(dmk)
