Cisco: DoS- und Rechteausweitungslücken in IOS und weiteren Produkten

Cisco hat Aktualisierungen veröffentlicht, die Sicherheitslücken in mehreren Produkten schließen. Angreifer können durch die Schwachstellen unter anderem ihre Rechte ausweiten oder Denial-of-Service-Angriffe ausführen.

Insgesamt acht Sicherheitsmitteilungen hat Cisco zu den neu erkannten Schwachstellen veröffentlicht. Davon gelten sechs als hohes Risiko, zwei als mittleres. Besonders hart trifft es Ciscos IOS XR-Software. Die schwerwiegendste Lücke ermöglicht angemeldeten lokalen Angreifern, Lese- und Schreibzugriff auf das unterliegende Betriebssystem zu erlangen und dadurch root-Rechte zu erlangen (CVE-2024-20398, CVSS 8.8, Risiko "hoch").

Nicht authentifizierte Angreifer aus dem Netz können zudem mit manipulierten Paketen eine Schwachstelle in Multicast Traceroute Version 2 (mtrace2) missbrauchen, um den Speicher für eingehende UDP-Pakete bis zum Anschlag zu füllen, was in einen Denial-of-Service münden kann (CVE-2024-20304, CVSS 8.6, hoch). Vier weitere Sicherheitslücken betreffen Ciscos IOS XR, Admins finden weiter unten die Sicherheitsmeldungen verlinkt, die auch den Weg zur aktualisierten Software weisen und detaillierter aufschlüsseln, welche Versionen betroffen sind.

Weitere Cisco-Produkte mit gravierenden Sicherheitslecks

In der Web-basierten Verwaltung von Ciscos Crosswork Network Services Orchestrator (NSO), Cisco Optical Site Manager sowie Cisco RV340 Dual WAN Gigabit VPN Routern können angemeldete Angreifer aus dem Netz unbefugt die Konfiguration verändern. Aufgrund mangelhafter Autorisierungsprüfungen in der JSON-RPC-API-Funktion können Angreifer mit der Berechtigung, auf die verwundbare App des Geräts zuzugreifen, etwa neue Nutzerkonten anlegen oder die eigenen Rechte erhöhen (CVE-2024-20381, CVSS 8.8, hoch).

Außerdem können in Ciscos Routed Passive Optical Network (PON) Controller, die als Docker-Container auf von Ciscos IOS XR unterstützter Hardware laufen, angemeldete Angreifer aus dem Netz Befehle einschleusen. Dadurch können sie beliebige Befehle auf verwundbaren Systemen ausführen und damit unter anderem an ein Klartext-Passwort gelangen (CVE-2024-20483, CVE-2024-20489; CVSS 8.4, hoch).

Cisco gibt in den neuen Sicherheitsmitteilungen an, keine Kenntnis von öffentlicher Bekanntheit der Schwachstelle oder einem aktiven Missbrauch zu haben. Die Sicherheitsmitteilungen nach einzelnen Produkten sowie nachfolgend nach Schweregrad sortiert:

• Cisco IOS XR Software CLI Privilege Escalation Vulnerability (CVE-2024-20398, CVSS 8.8, Risiko "hoch")
• Cisco IOS XR Software UDP Packet Memory Exhaustion Vulnerability (CVE-2024-20304, CVSS 8.6, hoch)
• Cisco IOS XR Software Network Convergence System Denial of Service Vulnerability (CVE-2024-20317, CVSS 7.4, hoch)
• Cisco IOS XR Software Segment Routing for Intermediate System-to-Intermediate System Denial of Service Vulnerability (CVE-2024-20406, CVSS 7.4, hoch)
• Cisco IOS XR Software CLI Arbitrary File Read Vulnerability (CVE-2024-20343, CVSS 5.5, mittel)
• Cisco IOS XR Software Dedicated XML Agent TCP Denial of Service Vulnerability (CVE-2024-20390, CVSS 5.3, mittel)
• Multiple Cisco Products Web-Based Management Interface Privilege Escalation Vulnerability (CVE-2024-20381, CVSS 8.8, hoch)
• Cisco Routed Passive Optical Network Controller Vulnerabilities (CVE-2024-20483, CVE-2024-20489; CVSS 8.4, hoch)

IT-Verantwortliche sollten aufgrund der üblichen Exposition der Appliances und des Bedrohungsgrads der Sicherheitslücken die verfügbaren Updates zügig installieren. Wenn das erst später möglich ist, sollten die unter der jeweiligen Workarounds-Sektion angegeben Tipps umgesetzt werden. Zwar gibt es für keine der Lücken konkrete Gegenmaßnahmen außer der Aktualisierung mit neuer Software, aber die Gefahr lässt sich teilweise durch die vorgeschlagenen Konfigurationsanpassungen reduzieren.

Lesen Sie auch

Angreifer können durch Hintertür in Cisco Smart Licensing Utility schlüpfen

Vergangene Woche hatte Cisco bereits mehrere Schwachstellen in diversen Produkten ausgebessert. Darunter kritische Sicherheitslücken im Smart Licensing Utility, in dem eine Hintertür steckte: Statische Admin-Zugangsdaten ermöglichten Angreifern, faktisch ohne Anmeldung auf die Instanzen zuzugreifen.

(dmk)