Menü
Alert!

Cisco patcht Hintertür weg und schließt weitere Lücken

Unter bestimmten Voraussetzungen sollen Angreifer ohne viel Aufwand Email Security Appliances kapern können. Cisco stuft die Sicherheitslücke mit dem höchsten Bedrohungsgrad ein.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen

(Bild: dpa, Felix Kästle/Illustration)

Von

In einigen Versionen des IronPort AsyncOS für Ciscos Email Security Appliances (ESA) klafft eine extrem kritische Lücke. Nutzt ein Angreifer diese aus, kann er Geräte komplett übernehmen und verfügt anschließend über Root-Rechte.

Davor und vor einem Dutzend weiteren Lücken mit einem Bedrohungsgrad von mittel bis hoch warnt das US-CERT. Admins sollten die Schwachstellen zügig durch das Einspielen von abgesicherten Versionen schließen.

ESA-Systeme sind aktuell angreifbar, da Cisco-Entwickler offensichtlich eine Hintertür in Form eines Support-Interfaces in einigen Kunden-Versionen des AsyncOS vergessen haben. Die betroffenen Versionen listet Cisco in einer Sicherheits-Warnung auf. Über einen Exploit könne ein Angreifer aus der Ferne ohne Authentifizierung und mit vergleichsweise wenig Aufwand an dem Interface ansetzen und so Geräte in Beschlag nehmen, warnt das Unternehmen.

Ein Übergriff sei aber nur möglich, wenn ein Gerät seit der Installation einer verwundbaren Ausgabe von AsyncOS nur einmal neu gestartet wurde. Nach einem zweiten Neustart soll das Support-Interface deaktiviert sein. Eine Attacke gelingt zudem nur, wenn der Enrollment Client auf einem Gerät älter als die Version 1.0.2-065 ist. Die installierte Ausgabe kann man mit dem Befehl ecstatus im CLI überprüfen.

Bei wem die gefährliche Kombination von verwundbarem AsyncOS und Enrollment Client zutrifft, sollte seine ESA mindestens zweimal neu starten. Wem dieser Workaround zu unsicher ist, kann abgsicherte AsyncOS- und Enrollment-Client-Versionen einspielen.

In Ciscos IOS- und IOS-XE-Betriebssystem klaffen zehn Lücken, deren Bedrohungsgrad Cisco mit Hoch einstuft. Über die Schwachstellen können Angreifer Geräte mit dem System über DoS-Attacken lahmlegen. Details zu den Lücken, betroffenen Versionen und Geräte finden sich über folgende Links:

Zwei Lücken mit dem Bedrohungsgrad mittel klaffen in Ciscos Firepower Management Center. Angreifer könnten so eine SQL-Injection ausführen und sich höhere Rechte erschleichen. (des)