Cisco: Kritische Sicherheitslücke in Meeting Management

Cisco warnt vor einer kritischen Sicherheitslücke im Meeting Management. Zudem hat der Hersteller Schwachstellen in Broadworks und ClamAV mit Sicherheitsupdates geschlossen.

Die gravierendste Sicherheitslücke betrifft die REST-API von Ciscos Meeting Management. "Eine Schwachstelle in der REST-API von Cisco Meeting Management ermöglicht entfernten authentifizierten Angreifern mit niedrigen Rechten, ihre Rechte auf betroffenen Geräten zu Administrator heraufzustufen", schreibt Cisco in der Sicherheitsmitteilung (CVE-2025-20156, CVSS 9.9, Risiko "kritisch").

Unsaubere Rechteprüfung

Die Sicherheitslücke stamme daher, dass ordnungsgemäße Autorisierung von REST-API-Nutzern nicht erzwungen werde. Angreifer können das Leck missbrauchen, indem sie API-Anfragen an Endpunkte senden. Bei Erfolg können Angreifer Kontrolle auf Admin-Ebene über Edge-Nodes erhalten, die mit Ciscos Meeting Management verwaltet werden. Version 3.10 ist von der Lücke nicht betroffen, für Version 3.9 steht die Aktualisierung auf Cisco Meeting Management 3.9.1 bereit. Wer noch Fassung 3.8 oder ältere einsetzt, soll auf eine unterstützte Version migrieren.

Eine Denial-of-Service-Lücke betrifft Ciscos Broadworks. Das Unternehmen schreibt in einer Sicherheitsmeldung, dass im Subsystem zur SIP-Verarbeitung nicht authentifizierte Angreifer aus dem Netz die Verarbeitung eingehender SIP-Anfragen lahmlegen können (CVE-2025-20165, CVSS 7.5, hoch). Die Speicherbehandlung für bestimmte SIP-Anfragen ist unzureichend, was Angreifer durch das Senden einer großen Zahl von SIP-Anfragen missbrauchen können, um den Speicher aufzubrauchen, den Ciscos Broadworks zum Verarbeiten von SIP-Traffic reserviert. Sofern kein Speicher mehr verfügbar ist, verarbeiten die Netzwerkserver keine eingehenden Anfragen mehr. Der Fehler ist ab Version RI.2024.11 von Cisco Broadworks korrigiert.

Der Virenscanner ClamAV kann beim Verarbeiten von OLE2-Streams (Object Linking and Embedding 2, ein gut abgehangenes Container-Format, das Anfang der 90er-Jahren des vergangenen Jahrhunderts als modern galt) aufgrund eines Integer-Unterlaufs in einer Begrenzungsprüfung beim Lesen über Puffergrenzen hinausschießen, was offenbar in einen Crash mündet. Nicht authentifizierte Angreifer aus dem Netz können manipulierte Dateien an ein mit ClamAV scannendes System senden und so eine Denial-of-Service-Situation provozieren (CVE-2025-20128, CVSS 5.3, mittel).

Cisco nutzt ClamAV für Secure Endpoint-Connector und -Private Cloud, wo die Risikoeinstufung auf CVSS 6.9, gerade noch mittleres Risiko, steigt. Den Fehler korrigieren Secure Endpoint Connector for Linux 1.25.1, for Mac 1.24.4, for Windows 7.5.20 und 8.4.3 sowie for Private Cloud 4.2.0 mit aktualisierten Connectors. Cisco weist darauf hin, dass die Entwickler Kenntnis von Proof-of-Concept-Exploitcode für diese Schwachstelle haben; bislang gebe es jedoch noch keine Berichte von dessen Einsatz in bösartigen Attacken.

(dmk)