Cisco: Root-Zugriff durch SQL-Injection-Lücke in Firepower möglich
Cisco warnt vor Sicherheitslücken in ASA- und Firepower-Appliances. Angreifer können mit SQL-Injection Firepower-Geräte kompromittieren.
Schwachstellen bedrohen Cisco-Geräte.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Der Netzwerkausrüster Cisco hat mehrere Sicherheitsmitteilungen veröffentlicht, in denen das Unternehmen vor Schwachstellen in den ASA- und Firepower-Appliances warnt. Sie ermöglichen Angreifern etwa, verwundbare Geräte vollständig zu kompromittieren.
Die schwerwiegendste Schwachstelle betrifft Ciscos Firepower-Appliances. In der webbasierten Verwaltungsoberfläche der Cisco Firepower Management Software (FMC) können authentifizierte Nutzer aus dem Netz SQL-Injection-Angriffe starten, da benutzergenerierte Inhalte nicht ausreichend überprüft werden. Nach erfolgreicher Attacke können Angreifer beliebige Daten aus der Datenbank abgreifen, beliebige Befehle im unterliegenden Betriebssystem ausführen und ihre Rechte zu root ausweiten. Das gelingt bereit mit einem Zugang, der lediglich nur-Lese-Rechte besitzt (CVE-2024-20360, CVSS 8.8, Risiko "hoch").
Weitere Lücken in Cisco-Appliances
Zudem gibt es weitere Sicherheitslecks mit mittlerem Risiko. Das Intrusion-Prevention-System (IPS) Snort etwa verarbeitet HTTP-Pakete nicht korrekt, was Angreifern erlaubt, mit manipulierten Pakete die IPS-Regeln zu umgehen. Außerdem können bösartige Akteure einen Logikfehler bei der Analyse bestimmter verschlüsselter Archive in der Firepower Threat Defense-Software (FTD) mit sorgsam präparierten Archiven ausnutzen, um eine Block-Regel zu umgehen, wodurch Malware an der Appliance vorbeigeschmuggelt werden könnte. Die weiteren Lücken ermöglichen ebenfalls, etwa Zugriffskontrolllisten zu umgehen.
Auf aktualisierte Software für die Appliances verweist Cisco in den einzelnen Advisories. Zudem erwähnen die Entwickler dort auch gegebenenfalls Einschränkungen zu betroffenen Versionen. Die einzelnen Sicherheitsmitteilungen in absteigender Reihenfolge nach Risikobewertung:
- Cisco Firepower Management Center Software SQL Injection Vulnerability, CVE-2024-20360, CVSS 8.8, Risiko "hoch"
- Multiple Cisco Products Snort 3 HTTP Intrusion Prevention System Rule Bypass Vulnerability, CVE-2024-20363, CVSS 5.8, mittel
- Cisco Firepower Threat Defense Software Encrypted Archive File Policy Bypass Vulnerability, CVE-2024-20261, CVSS 5.8, mittel
- Cisco Firepower Management Center Software Object Group Access Control List Bypass Vulnerability, CVE-2024-20361, CVSS 5.8, mittel
- Cisco Adaptive Security Appliance and Firepower Threat Defense Software Inactive-to-Active ACL Bypass Vulnerability, CVE-2024-20293, CVSS 5.8, mittel
- Cisco Adaptive Security Appliance and Firepower Threat Defense Software Authorization Bypass Vulnerability, CVE-2024-20355, CVSS 5.0, mittel
Die bereitstehenden Updates sollten Administratorinnen und Administratoren zügig installieren, um die Angriffsfläche zu reduzieren. Insbesondere die Korrektur für die SQL-Injection-Lücke in Ciscos Firepower sollte mit hoher Priorität angewendet werden.
Erst in der vergangenen Woche hatte Cisco mehrere Sicherheitslücken in diversen Produkten geschlossen. Drei Schwachstellen erhielten die Risikobewertung "hoch".
(dmk)