Sicherheitsupdates: Cisco patcht Lücken in Produkten quer durch die Bank

Inhaltsverzeichnis

Mit einem guten Dutzend Sicherheitshinweisen behebt Cisco einige Lücken in VPN-Routern, Security-Appliances der Meraki-Baureihe, Blade-Centern und der Cloud-Netzwerkverwaltung "Nexus Dashboard". Für die Sicherheitslücken gibt es Softwareflicken, aber keine Workarounds – Admins sollten also ihren Gerätepark auf den neuesten Stand bringen.

Nexus Dashboard führt Fremdkommandos aus

Die gefährlichste Lücke betrifft den Nexus Dashboard Fabric Controller (NDFC), eine Software zur Verwaltung von Netzwerkgeräten. Der Bug erlaubt einem Angreifer mit gültigem Benutzerkonto, beliebigen Code auf einem durch eine angreifbare NDFC-Instanz verwalteten Gerät auszuführen. Die Kommandos lassen sich sowohl über die Weboberfläche als auch über das RESTful API einschleusen – nur die Tatsache, dass ein Nutzerkonto notwendig ist, bewahrt CVE-2024-20432 vor der CVSS-Höchstwertung. Mit einem Wert von 9,9 Punkten ist die Sicherheitslücke dennoch kritisch.

Auch über das Secure Copy Protocol (SCP) kann ein Missetäter eigenen Code am NDFC vorbei auf Netzwerkgeräten einschleusen. Dazu lädt er diesen einfach per SCP hoch und macht sich eine mangelhafte Pfadprüfung zunutze – die schädlichen Kommandos werden mit den Rechten des Nutzers "root" ausgeführt und bescheren der Sicherheitslücke mit CVE-ID CVE-2024-20449 ein hohes Risiko und CVSS 8,8 von 10.

Mehrere weitere Lücken im Nexus-Dashboard (CVE-2024-20385, CVE-2024-20438, CVE-2024-20441, CVE-2024-20442, CVE-2024-20490, CVE-2024-20491, CVE-2024-20444 und CVE-2024-20448) bringen ein mittleres Risiko mit sich und rangieren von TLS-Zertifikatsproblemen über Autorisierungsmängel bis zu Informationslecks.

Router für kleine Firmen angreifbar

Auch in den Small-Business-Routern aus dem Hause Cisco klaffen Lücken. Die Routertypen RV340(W) und RV345(P) erlauben eine Ausweitung der Privilegien (CVE-2024-30393, CVSS 8,8, Risiko hoch) und führen Schadcode aus, der allerdings durch einen Nutzer mit bestehenden admin-Rechten eingeschleust werden muss (CVE-2024-20470, CVSS 4,7, Risiko mittel).

Schiebt ein Angreifer mit Administrator-Privilegien Routern RV042(G), RV320 und RV325 manipulierte HTTP-Pakete über die Web-GUI unter (CVE-2024-20516, CVE-2024-20517, CVE-2024-20522, CVE-2024-20523, CVE-2024-20524, CVSS 6,8, Risiko mittel), kann er diese zum Neustart bringen und legitime Nutzer somit währenddessen aussperren. Außerdem kann er mit der gleichen Vorgehensweise Kommandos mit den Privilegien des root-Systemnutzers auf den Geräten ausführen (CVE-2024-20518, CVE-2024-20519, CVE-2024-20520 und CVE-2024-20521, CVSS 6,5, Risiko mittel).

(Anm. d. Red.: Bei Routerbezeichnungen mit Suffixen in Klammern sind jeweils die Router mit und ohne Suffix angreifbar.)

Lücken in weiteren Produkten

Ein Sicherheitsproblem im AnyConnect-VPN-Server der Meraki-Appliances vom Typ MX und Z (die genaue Liste der 25 betroffenen Gerätetypen hat Cisco im Sicherheitshinweis veröffentlicht) erlaubt Außenstehenden, VPN-Sitzungen zu beenden oder deren Aufbau zu behindern. Der Hersteller hat gleich mehrere Varianten eines solchen Angriffs gefunden und in Updates für die Anyconnect-Server behoben. Die Lücken tragen die CVE-IDs CVE-2024-20498, CVE-2024-20499, CVE-2024-20500, CVE-2024-20501, CVE-2024-20502 und CVE-2024-20513, ihr Schweregrad rangiert von mittel bis hoch. Den Patch einzuspielen, ist also in jedem Fall angeraten.

In der Cisco Identity Services Engine (CVE-2024-20515, Risiko mittel), Cisco Expressway (CVE-2024-20492, Risiko mittel) und der Redfish-Fernwartungsschnittstelle der UCS-Bladecenter aus der Serie Typen B, C und X (CVE-2024-20365, Risiko mittel) gibt es weitere Sicherheitslücken, die der Netzwerkausstatter behoben hat.

Für alle Lücken stehen Patches bereit, die Admins zügig einspielen sollten. Alle Hinweise finden sich auch auf Ciscos Übersichtsseite. In der Vergangenheit waren Exploits für Cisco-Lücken schnell aufgetaucht und von Cybercrime-Gruppen ausgenutzt worden.

(cku)