Alert!

Statischer SSH-Schlüssel macht Cloudsicherheitssystem Cisco Umbrella zu schaffen

Wichtige Sicherheitsupdates für Hard- und Software von Cisco schließen mehrere Lücken. Angreifer könnten Admin-Zugangsdaten mitschneiden.

Lesezeit: 2 Min.

In Pocket speichern

5

21.04.2022 14:51 Uhr

Security

Von

Dennis Schirrmacher

Sicherheitslücken machen unter anderem Cisco Adaptive Security Appliance, Unified Communications Products, Umbrella Virtual Appliance und Webex verwundbar. Patches stehen zum Download bereit.

Gefährliche Sicherheitslücken

Setzen Angreifer an einer Lücke (CVE-2022-20732 "hoch") in Virtualized Infrastructure Manager an, könnten sie sich mit erhöhten Rechten an Geräten anmelden. Der Zugriff auf Konfigurationsdateien ist Cisco zufolge nicht optimal geschützt, sodass Angreifer Zugangsdaten auslesen könnten.

Die zweite mit dem Bedrohungsgrad "hoch" eingestufte Schwachstelle (CVE-2022-20773) betrifft Umbrella Virtual Appliance. Aufgrund eines statischen SSH-Schlüssels könnte sich ein Angreifer als Man-in-the-Middle in Verbindungen einklinken und etwa Kennwörter von Admins mitschneiden. Diese Art der Authentifizierung ist aber standardmäßig nicht aktiv.

TelePresence Collaboration Endpoint und RoomOS Software H.323 sind für DoS-Attacken anfällig (CVE-2022-20783 "hoch"). Die verbleibenden Sicherheitslücken sind mit "mittel" eingestuft. Setzen Angreifer dort erfolgreich an, könnten sie beispielsweise Unified Communications Products via DoS-Attacken lahmlegen oder unberechtigt auf Dateien zugreifen.

Jetzt patchen!

Admins sollten die unterhalb dieses Beitrages verlinkten Warnmeldungen studieren und die dort aufgelisteten abgesicherten Versionen zeitnah installieren.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}