Jetzt patchen! Angreifer haben Netzwerkgeräte von Cisco im Visier
Cisco hat unter anderem eine kritische Lücke in Catalyst SD-WAN geschlossen. Außerdem gibt es Sicherheitsupdates für weitere Produkte.
(Bild: Michael Vi/Shutterstock.com)
Der Netzwerkausrüster Cisco warnt vor Attacken auf sein Betriebssystem IOS und IOS XE, das unter anderem in Routern und Switches zum Einsatz kommt. Doch für einen erfolgreichen Angriff müssen Angreifer eine große Hürde nehmen.
Laufende Attacken
In der Warnmeldung zur attackierten Sicherheitslücke (CVE-2023-20109 "mittel") steht, dass die Schwachstelle das Feature Group Encrypted Transport VPN (GET VPN) betrifft. Aufgrund von unzureichenden Überprüfungen bei der Group Domain of Interpretation (GDOI) und bei G-IKEv2-Protokollen können Angreifer Key-Server aus der Ferne kompromittieren.
Das klappt Cisco zufolge aber nur, wenn Angreifer bereits Admin-Zugriff haben. Dementsprechend ist die Lücke auch nicht als kritisch eingestuft. Dennoch sollten Admins sicherstellen, eine dagegen abgesicherte IOS-/IOS-XE-Version installiert zu haben.
Kritische Lücke
Als besonders gefährlich gilt eine "kritische" Schwachstelle (CVE-2023-20252) im Netzwerktool Catalyst SD-WAN Manager. Weitere Lücken (CVE-2023-20034,, CVE-2023-20253, CVE-2023-20254, CVE-2023-20262) sind mit "hoch" und "mittel" eingestuft. ISO XE Software, SD-WAN cEdge Router und SD-WAN vEdge Router sollen davon nicht betroffen sein. An verwundbaren Geräten können Angreifer für DoS-Attacken ansetzen und so Dienste lahmlegen.
Überdies sind noch Attacken auf unter anderem DNA Center API und Adaptive Security Appliance Software möglich. An diesen Stellen sind unberechtigte Zugriffe denkbar. Informationen zu den Sicherheitsupdates finden Admins in den verlinkten Warnmeldungen.
Liste nach Bedrohungsgrad absteigend sortiert:
- Catalyst SD-WAN Manager
- IOS XE Software Web UI Command Injection
- IOS XE Software for ASR 1000 Series Aggregation Services Routers IPv6 Multicast Denial of Service
- IOS XE Software Layer 2 Tunneling Protocol Denial of Service
- DNA Center API Insufficient Access Control
- IOS XE Software for Catalyst 3650 and Catalyst 3850 Series Switches Denial of Service
- IOS XE Software Application Quality of Experience and Unified Threat Defense Denial of Service
- IOS and IOS XE Software Command Authorization Bypass
- IOS and IOS XE Software Cisco Group Encrypted Transport VPN Software Out-of-Bounds Write
- Wireless LAN Controller AireOS Software Denial of Service
- IOS XE Software for Wireless LAN Controllers Wireless Network Control Denial of Service
- Catalyst 9100 Access Points Denial of Service
- Access Point Software Uncontrolled Resource Consumption
- Catalyst SD-WAN Manager Web UI HTML Injection
(des)
