Alert!

Cisco-Sicherheitsupdates: Webex-Meetings von Teilnehmern unbemerkt belauschbar

Angreifer könnten sich unter anderem Root-Rechte auf Cisco Systemen verschaffen, auf Back-End-Datenbanken zugreifen und Meetings kompromittieren.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 24 Beiträge
Von
  • Dennis Schirrmacher

Ciscos Netzwerk-Management-Software DNA Spaces Connector, Integrated Management Controller (IMC) und IoT Field Network Director (FND) sind über als "kritisch" eingestufte Sicherheitslücken attackierbar. Außerdem könnten sich Angreifer heimlich in Webex-Meetings schleichen. Sicherheitsupdates sind verfügbar.

Am gefährlichsten gilt die Schwachstelle (CVE-2020-3470) in IMC. Hier kann es bei der Verarbeitung von HTTP-Anfragen zu Problemen kommen, was in Speicherfehlern resultiert. Ist das der Fall, könnten Angreifer ohne Authentifizierung Schacode mit Root-Rechten im zugrundeliegenden Betriebssystem ausführen.

Durch das erfolgreiche Ausnutzen der Lücke (CVE-2020-3531) in FND könnten entfernte und nicht angemeldete Angreifer aufgrund eine unzureichenden Authentifizierung bei REST API Calls auf die Back-End-Datenbank zugreifen und diese verändern.

Da die Managementkonsole von DNA Spaces Connector Nutzereingaben nicht ausreichend prüft (CVE-2020-3586) , könnten Angreifer eigene Befehlen auf verwundbaren Geräte ausführen.

Aufgrund einer Schwachstelle (CVE-2020-3419) könnten Angreifer bei Webex-Meetings zugegen sein, ohne in der Teilnehmerliste aufzutauchen. Als "Geist" vor den anderen Teilnehmern verborgen könnten Angreifer unter anderem Audio- und Videoinhalte belauschen. Das ist aber einer Warnmeldung von Cisco zufolge nur möglich, wenn Angreifer Zugang zu Meetings in Form von Teilnahme-Links nebst Passwort haben. Dementsprechend ist die Lücke "nur" mit "mittel" eingestuft.

Weitere Schwachstellen betreffen Expressway Software, Secure Web Appliance und Telepresence CE Software. Hier könnten Angreifer beispielsweise unberechtigt auf Informationen zugreifen oder sich höhere Nutzerrechte aneignen.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)