zurück zum Artikel

Jetzt patchen: Cisco schließt Lücken in mehreren Produkten

Olivia von Westernhagen
Cisco

(Bild: dpa, Monica M. Davey)

Die Desktop-App WebEx Meetings für Windows und das Webinterface mehrerer Cisco-Geräte bieten Einfallstore für Angreifer. Updates stehen bereit.

Cisco hat Software-Updates für zwei Sicherheitslücken veröffentlicht. Die erste betrifft das webbasierte Management-Interface mehrerer Geräte und gilt als kritisch ("Critical"). Die zweite steckt in der Windows-Version der Desktop-App Webex Meetings und wird vom Hersteller mit dem Sicherheitsrisiko "High" bewertet. Nutzer sollten die bereitgestellten Updates umgehend installieren.

Die kritische Lücke (CVE-2019-1663) resultiert aus mangelhaften Validierungsmechanismen für HTTP-Requests. Mittels bestimmter Requests könnte sich ein unauthentifizierter, entfernter Angreifer laut Cisco "hohe Privilegien" erschleichen, um wiederum beliebigen Code auszuführen.

Als verwundbar nennt der Hersteller im zugehörigen Sicherheitshinweis [1] alle Management-Interface-Versionen für RV110W Wireless-N VPN Firewall, RV130W Wireless-N Multifunction VPN Router und RV215W Wireless-N VPN Router. Die gefixten Versionen sind 1.2.2.1 (RV110W), 1.0.3.45 (RV130W) )und 1.3.1.1 (RV215W).

Weitere Validierungsfehler

Die WebEx-Lücke (CVE-2019-1674) basiert laut Cisco [2] auf einer unzureichenden Überprüfung der Parameter für den Update-Service der Desktop-App. Ein authentifizierter Angreifer könnte sich mittels Übergabe spezieller Parameters bei dessen Aufruf SYSTEM-Privilegien verschaffen und anschließend beliebigen Programmcode auf dem System ausführen. In der Regel ist lokaler Zugriff notwendig; Cisco weist allerdings darauf hin, dass in einer Active-Directory-Umgebung auch ein Angriff mit den Fernwartungs-Tools von Windows denkbar sei.

Betroffen sind alle Webex Meetings Desktop-App-Versionen vor 33.6.6 sowie alle Webex Productivity-Tools-Versionen ab 32.6.0 bis einschließlich 33.0.6, sofern diese auf einem Windows-System laufen. Cisco gibt an, die Lücken in den Versionen 33.6.6 und 33.9.1 (Desktop-App) beziehungsweise 33.0.7 (Productivity Tools) geschlossen zu haben.

Alle Updates stehen für registrierte Nutzer in Ciscos Software-Center [3] bereit. (ovw [4])

URL dieses Artikels:
https://www.heise.de/-4322363

Links in diesem Artikel:
[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-rmi-cmd-ex
[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-wmda-cmdinj
[3] https://software.cisco.com/download/home
[4] mailto:olivia.von.westernhagen@gmail.com

Copyright © 2019 Heise Medien