Der Netzwerkausrüster Cisco hat für jedes verschiedene Produkte Patches veröffentlicht, die mehrere Sicherheitslücken schließen.
Security Von
- Dennis Schirrmacher
Admins von Cisco-Soft- und -Hardware sollten die aktuellen Warnmeldungen studieren und die sie betreffenden Sicherheitsupdates installieren. Davon sind unter anderem Geräte mit dem Betriebssystem IOS und das Fernwartungstool Business Process Automation (BPA) betroffen.
Besonders gefährliche Schwachstellen
Am gefährlichsten gelten zwei Lücken (CVE-2021-1574, CVE-2021-1576) in BPA. Hier könnten Angreifer über das Internet am verwundbaren Management-Interface ansetzen. Mit präparierten HTTP-Anfragen oder dem Auslesen von Informationen aus Log-Dateien könnten Angreifer sich zum Administrator befördern. Beide Lücken sind mit dem Bedrohungsgrad "hoch" eingestuft. Cisco gibt an BPA 3.1 gegen solche Attacken abgesichert zu haben. Vorige Ausgaben sollen für die geschilderten Angriffe anfällig sein.
Ebenfalls mit hoch eingestuft sind Schwachstellen in IOS und IOS XE und Web Security Appliance (WSA). Die IOS-Lücke bedroht Swiches der Catalyst-4500- und Catalyst-4500-X-Serie. Aufgrund von Fehlern bei der Verarbeitung von Bidirectional-Forwarding-Detection-Nachrichten (BFD) könnten Angreifer einen Neustart des Systems auslösen (DoS-Attacke). WSA kann sich an präparierten XML-Konfigurationsdateien verschlucken und authentifizierte entfernte Angreifer zu Root-Nutzern machen.
Noch mehr Lücken
Setzen Angreifer erfolgreich an den mit "mittel" eingestuften Sicherheitslücken in unter anderem Identity Services und SD-WAN an, könnten sie etwa Informationen leaken.
Liste nach Bedrohungsgrad absteigend sortiert:
- Business Process Automation Privilege Escalation
- IOS and IOS XE Software Bidirectional Forwarding Detection Denial of Service
- Adaptive Security Device Manager Remote Code Execution
- Broadcom MediaxChange Vulnerability Affecting Cisco Products
- Video Surveillance 7000 Series IP Cameras Link Layer Discovery Protocol Memory Leak
- Web Security Appliance Privilege Escalation
- Virtualized Voice Browser Cross-Site Scripting
- Identity Services Engine Stored Cross-Site Scripting
- BroadWorks Application Server Information Disclosure
(des)
Quelle: www.heise.de