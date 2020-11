Ciscos Netzwerk-Management-Software DNA Spaces Connector, Integrated Management Controller (IMC) und IoT Field Network Director (FND) sind über als "kritisch" eingestufte Sicherheitslücken attackierbar. Außerdem könnten sich Angreifer heimlich in Webex-Meetings schleichen. Sicherheitsupdates sind verfügbar.

Kritische Lücken

Am gefährlichsten gilt die Schwachstelle (CVE-2020-3470) in IMC. Hier kann es bei der Verarbeitung von HTTP-Anfragen zu Problemen kommen, was in Speicherfehlern resultiert. Ist das der Fall, könnten Angreifer ohne Authentifizierung Schacode mit Root-Rechten im zugrundeliegenden Betriebssystem ausführen.

Durch das erfolgreiche Ausnutzen der Lücke (CVE-2020-3531) in FND könnten entfernte und nicht angemeldete Angreifer aufgrund eine unzureichenden Authentifizierung bei REST API Calls auf die Back-End-Datenbank zugreifen und diese verändern.

Da die Managementkonsole von DNA Spaces Connector Nutzereingaben nicht ausreichend prüft (CVE-2020-3586) , könnten Angreifer eigene Befehlen auf verwundbaren Geräte ausführen.

Webex-Spion

Aufgrund einer Schwachstelle (CVE-2020-3419) könnten Angreifer bei Webex-Meetings zugegen sein, ohne in der Teilnehmerliste aufzutauchen. Als "Geist" vor den anderen Teilnehmern verborgen könnten Angreifer unter anderem Audio- und Videoinhalte belauschen. Das ist aber einer Warnmeldung von Cisco zufolge nur möglich, wenn Angreifer Zugang zu Meetings in Form von Teilnahme-Links nebst Passwort haben. Dementsprechend ist die Lücke "nur" mit "mittel" eingestuft.

Weitere Schwachstellen betreffen Expressway Software, Secure Web Appliance und Telepresence CE Software. Hier könnten Angreifer beispielsweise unberechtigt auf Informationen zugreifen oder sich höhere Nutzerrechte aneignen.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)