Hochriskante LĂĽcken in Cisco Meraki und Enterprise Chat
Cisco warnt vor SicherheitslĂĽcken mit hohem Risiko im VPN von Meraki und in Enterprise Chat and Email.
Schwachstellen bedrohen Cisco-Geräte.
(Bild: Erstellt mit KI in Bing Designer durch heise online / dmk)
In der Anyconnect-VPN-Software von Ciscos Meraki MX- und Z-Reihen sowie in Enterprise Chat and Email haben die Entwickler SicherheitslĂĽcken mit hohem Risiko entdeckt. Aktualisierte Firm- und Software steht bereit, um sie zu schlieĂźen. Admins sollten sie zĂĽgig installieren.
Mit gültigen VPN-Zugangsdaten können bösartige Akteure in dem Anyconnect-VPN-Dienst von Ciscos Meraki MX- und Z-Geräten einen Denial-of-Service (DoS) provizieren, erörtert der Hersteller in einer Sicherheitsmitteilung. Das gehe darauf zurück, dass eine Variable beim Aufbau einer SSL-VPN-Sitzung nicht initialisiert werde, wodurch Angreifer manipulierte Attribute übergeben können. Das kann zum Neustart des Dienstes führen, wodurch auch andere VPN-Sitzungen in Mitleidenschaft gezogen werden (CVE-2025-20212, CVSS 7.7, Risiko "hoch").
In der Sicherheitsmitteilung listet Cisco diverse verwundbare Geräte. Für die einzelnen Firmware-Zweige gibt es Aktualisierungen, die Versionen 18.107.12 (für 18.1-Branch), 18.211.4 (für 18.2-FIrmwares) und 19.1.4 schließen die Sicherheitslecks. Firmwares vor 16.2 sind nicht anfällig, 16.2er- und 17er-Fassungen sollen auf die fehlerkorrigierten Entwicklungszweige migrieren.
SicherheitslĂĽcke in Cisco Enterprise Chat and Email
In Ciscos Enterprise Chat and Email (ECE) können nicht authentifizierte Angreifer aus dem Netz einen Denial-of-Service provozieren. Daran ist laut Ciscos Warnung eine unzureichende Prüfung von User-übergebenen Daten an Chat-Entry-Points schuld. Durch das Senden manipulierter Anfragen können bösartige Akteure den Chat-Dienst lahmlegen, der sich zudem nicht automatisch davon erhole, sondern einen Neustart durch Admins benötigt (CVE-2025-20139, CVSS 7.5, Risiko "hoch").
Cisco stellt ECE 12.6 ES 10 als Software-Update bereit, das die Schwachstelle ausbessern soll. Wer die Software in Version 12.5 oder älter einsetzt, soll dennoch auf diesen Stand aktualisieren.
Cisco hat zudem die Sicherheitsmeldung zu kritischen Sicherheitslücken im Smart Licensing Utility aktualisiert und um die darauf beobachteten Cyberangriffe in freier Wildbahn ergänzt.
(dmk)