Cisco: Angreifer können Befehle auf IP-Telefonen ausführen, Update kommt nicht
Für kritische Lücken in Cisco-IP-Telefonen wird es keine Updates geben. Für eine jüngst gemeldete Lücke ist ein Proof-of-Concept-Exploit aufgetaucht.
Schwachstellen bedrohen Cisco-Geräte.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Cisco hat Sicherheitswarnungen zu bestimmten IP-Telefonen veröffentlicht. Angreifer können Befehle darauf ausführen oder sie mit DoS-Angriffen lahmlegen. Zudem warnt das Unternehmen vor Cross-Site-Scripting-Schwachstellen in Ciscos ISE. Für eine kürzlich gemeldete Sicherheitslücke ist inzwischen außerdem ein Proof-of-Concept-Exploit aufgetaucht.
Alte Cisco-IP-Telefone bleiben verwundbar
Gleich drei als kritisch eingestufte Sicherheitslücken erlauben Angreifern, dem Webinterface der SPA300- und SPA500-Baureihen von Ciscos IP-Telefonen beliebige Befehle unterzujubeln (CVE-2024-20450, CVE-2024-20452, CVE-2024-20454; CVSS 9.8, Risiko "kritisch"). Außerdem ermöglichen zwei weitere Lücken im Webinterface, die Geräte mittels DoS-Angriff lahmzulegen (CVE-2024-20451, CVE-2024-20453; CVSS 7.5, hoch).
Wer diese Geräte einsetzt, sollte sie zügig dem Recycling zuführen, denn Cisco schreibt in der Sicherheitsmitteilung, dass es keinen Workaround gebe – und auch keine aktualisierte Software zum Schließen der Lücken. Die Produkte sind demnach am Ende ihres Lebenszyklus angelangt.
Mitte Juli wurde eine kritische Sicherheitslücke in Ciscos Smart Software Manager On-Prem (SSM On-Prem) bekannt. Angreifer können dadurch ohne vorherige Authentifizierung Passwörter von Nutzerkonten – einschließlich des Administratorkontos – ändern und so die Systeme kompromittieren (CVE-2024-20419, CVSS 10, kritisch). Cisco hat jetzt die Sicherheitsmitteilung aktualisiert: Es gibt mindestens einen Proof-of-Concept-Exploit, der das Ausnutzen der Schwachstelle demonstriert. Damit ist zu erwarten, dass Cyberkriminelle diesen Angriff in ihren Baukasten aufnehmen und in Kürze in freier Wildbahn attackieren werden. IT-Verantwortliche sollten spätestens jetzt die bereitstehenden Updates installieren.
In der Cisco Identity Services Engine (ISE) können authentifizierte Angreifer aus der Ferne zudem Cross-Site-Scripting-Attacken gegen Nutzer der webbasierten Verwaltungsoberfläche starten (CVE-2024-20443, CVSS 5.4, mittel; CVE-2024-20479, CVSS 4.8, mittel). Dadurch können sie beliebigen Skript-Code im Kontext der Verwaltungsoberfläche ausführen oder sensible Informationen abgreifen. Für die erste Lücke sind niedrige Nutzerrechte für Angreifer nötig, für die zweite hingegen Admin-Rechte. Laut der Sicherheitsmitteilung von Cisco müssen IT-Verantwortliche Cisco ISEs der Versionen 2.7 und 3.0 auf einen unterstützten Software-Stand bringen. Für die zudem verwundbaren Versionen 3.1, 3.2 und 3.3 stehen Updates bereit (für 3.2 erst im September), 3.4 ist nicht betroffen.
(dmk)
