Angreifer könnten Systeme mit Cisco Vision Dynamic Signage Director übernehmen
Der Netzwerkausrüster Cisco hat wichtige Sicherheitsupdates für verschiedene Produkte veröffentlicht.
Ciscos System zum Verteilen von Videos an TV-Gerätverbünde Vision Dynamic Signage Director (VDSD) ist über eine als "kritisch" eingestufte Sicherheitslücke (CVE-2019-1917) angreifbar. Sicherheitsupdates schaffen Abhilfe.
Darüber hinaus hat der Netzwerkausrüster noch abgesicherte Software für unter anderm verschiedene IP-Telefone, Switches und Router veröffentlicht. Die damit geschlossenen Schwachstellen sind mit dem Bedrohungsgrad "hoch" oder "mittel" eingestuft.
Mittels präparierter HTTP-Anfragen an die REST API von VDSDS könnte ein entfernter unangemeldeter Angreifer die Authentifizierung von zugrundeliegenden System komplett umgehen und so Admin-Rechte erhalten. Davor warnt Cisco in einer Sicherheitswarnung [1].
Weitere Schwachstellen
Des Weiteren weist die FindIT Network Management Software statische Zugangsdaten auf und ein Angreifer könnte so Root-Rechte erlangen. Die IOS Access Points Software 802.11r ist anfällig für DoS-Attacken. Außerdem könnten Angreifer noch Switches umleiten und auf einigen IP-Telefonen lokal Schadcode ausführen. Weitere Sicherheitslücken bieten Ansatzpunkte für XXS-Attacken. Auch eigentlich abgeschottete Informationen könnten nach einem erfolgreichen Angriff leaken.
Liste nach Bedrohungsgrad absteigend sortiert:
- Vision Dynamic Signage Director REST API Authentication Bypass [2]
- FindIT Network Management Software Static Credentials [3]
- IOS Access Points Software 802.11r Fast Transition Denial of Service [4]
- Small Business SPA500 Series IP Phones Local Command Execution [5]
- Identity Services Engine Cross-Site Scripting [6]
- Industrial Network Director Web Services Management Agent Unauthorized Information Disclosure [7]
- Small Business Series Switches Open Redirect [8]
- Identity Services Engine Blind SQL Injection [9]
(des [10])
URL dieses Artikels:
https://www.heise.de/-4474438
Links in diesem Artikel:
[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-cvdsd-wmauth
[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-cvdsd-wmauth
[3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-cfnm-statcred
[4] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-aironet-dos
[5] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-spa500-command
[6] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-ise-xss
[7] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-wsma-info
[8] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-sbss-redirect
[9] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-ise-sql-inject
[10] mailto:des@heise.de
Copyright © 2019 Heise Medien