Sicherheitsupdates: Cisco patcht LĂĽcken in Produkten quer durch die Bank
Neben einem kritischen Fehler kĂĽmmert sich der NetzwerkausrĂĽster auch um einige LĂĽcken mit mittlerem und hohem Risikograd. Patches stehen bereit.
Mit einem guten Dutzend Sicherheitshinweisen behebt Cisco einige Lücken in VPN-Routern, Security-Appliances der Meraki-Baureihe, Blade-Centern und der Cloud-Netzwerkverwaltung "Nexus Dashboard". Für die Sicherheitslücken gibt es Softwareflicken, aber keine Workarounds – Admins sollten also ihren Gerätepark auf den neuesten Stand bringen.
Nexus Dashboard fĂĽhrt Fremdkommandos aus
Die gefährlichste Lücke betrifft den Nexus Dashboard Fabric Controller (NDFC), eine Software zur Verwaltung von Netzwerkgeräten. Der Bug erlaubt einem Angreifer mit gültigem Benutzerkonto, beliebigen Code auf einem durch eine angreifbare NDFC-Instanz verwalteten Gerät auszuführen. Die Kommandos lassen sich sowohl über die Weboberfläche als auch über das RESTful API einschleusen – nur die Tatsache, dass ein Nutzerkonto notwendig ist, bewahrt CVE-2024-20432 vor der CVSS-Höchstwertung. Mit einem Wert von 9,9 Punkten ist die Sicherheitslücke dennoch kritisch.
Auch über das Secure Copy Protocol (SCP) kann ein Missetäter eigenen Code am NDFC vorbei auf Netzwerkgeräten einschleusen. Dazu lädt er diesen einfach per SCP hoch und macht sich eine mangelhafte Pfadprüfung zunutze – die schädlichen Kommandos werden mit den Rechten des Nutzers "root" ausgeführt und bescheren der Sicherheitslücke mit CVE-ID CVE-2024-20449 ein hohes Risiko und CVSS 8,8 von 10.
Mehrere weitere Lücken im Nexus-Dashboard (CVE-2024-20385, CVE-2024-20438, CVE-2024-20441, CVE-2024-20442, CVE-2024-20490, CVE-2024-20491, CVE-2024-20444 und CVE-2024-20448) bringen ein mittleres Risiko mit sich und rangieren von TLS-Zertifikatsproblemen über Autorisierungsmängel bis zu Informationslecks.
Router fĂĽr kleine Firmen angreifbar
Auch in den Small-Business-Routern aus dem Hause Cisco klaffen LĂĽcken. Die Routertypen RV340(W) und RV345(P) erlauben eine Ausweitung der Privilegien (CVE-2024-30393, CVSS 8,8, Risiko hoch) und fĂĽhren Schadcode aus, der allerdings durch einen Nutzer mit bestehenden admin-Rechten eingeschleust werden muss (CVE-2024-20470, CVSS 4,7, Risiko mittel).
Schiebt ein Angreifer mit Administrator-Privilegien Routern RV042(G), RV320 und RV325 manipulierte HTTP-Pakete über die Web-GUI unter (CVE-2024-20516, CVE-2024-20517, CVE-2024-20522, CVE-2024-20523, CVE-2024-20524, CVSS 6,8, Risiko mittel), kann er diese zum Neustart bringen und legitime Nutzer somit währenddessen aussperren. Außerdem kann er mit der gleichen Vorgehensweise Kommandos mit den Privilegien des root-Systemnutzers auf den Geräten ausführen (CVE-2024-20518, CVE-2024-20519, CVE-2024-20520 und CVE-2024-20521, CVSS 6,5, Risiko mittel).
(Anm. d. Red.: Bei Routerbezeichnungen mit Suffixen in Klammern sind jeweils die Router mit und ohne Suffix angreifbar.)
LĂĽcken in weiteren Produkten
Ein Sicherheitsproblem im AnyConnect-VPN-Server der Meraki-Appliances vom Typ MX und Z (die genaue Liste der 25 betroffenen Gerätetypen hat Cisco im Sicherheitshinweis veröffentlicht) erlaubt Außenstehenden, VPN-Sitzungen zu beenden oder deren Aufbau zu behindern. Der Hersteller hat gleich mehrere Varianten eines solchen Angriffs gefunden und in Updates für die Anyconnect-Server behoben. Die Lücken tragen die CVE-IDs CVE-2024-20498, CVE-2024-20499, CVE-2024-20500, CVE-2024-20501, CVE-2024-20502 und CVE-2024-20513, ihr Schweregrad rangiert von mittel bis hoch. Den Patch einzuspielen, ist also in jedem Fall angeraten.
In der Cisco Identity Services Engine (CVE-2024-20515, Risiko mittel), Cisco Expressway (CVE-2024-20492, Risiko mittel) und der Redfish-Fernwartungsschnittstelle der UCS-Bladecenter aus der Serie Typen B, C und X (CVE-2024-20365, Risiko mittel) gibt es weitere SicherheitslĂĽcken, die der Netzwerkausstatter behoben hat.
FĂĽr alle LĂĽcken stehen Patches bereit, die Admins zĂĽgig einspielen sollten. Alle Hinweise finden sich auch auf Ciscos Ăśbersichtsseite. In der Vergangenheit waren Exploits fĂĽr Cisco-LĂĽcken schnell aufgetaucht und von Cybercrime-Gruppen ausgenutzt worden.
(cku)