Sicherheitsupdates: Cisco vergisst mal wieder Standard-Passwort in Netzwerk-Software
Cisco hat wichtige Patches veröffentlicht und stopft damit Sicherheitslücken in seinem Produktportfolio. Drei Lücken gelten als äußerst kritisch.
- Dennis Schirrmacher
In Ciscos Software Digital Network Architecture (DNA) zum Überwachen und Verwalten von Netzwerken klaffen drei heftige Sicherheitslücken. Angreifer sollen diese aus der Ferne ohne Authentifizierung als Einfallstor in Netzwerke ausnutzen können. Zusätzlich veröffentlicht der Netzwerkausrüster noch mehr Sicherheitsupdates für weitere Produkte.
Um Systeme zu infiltrieren, kann sich ein Angreifer aufgrund von bislang undokumentierten Standard-Log-in-Daten als Admin in DNA einloggen und Befehle mit Root-Rechten ausführen, warnt Cisco. Gerät die zweite äußerst kritische Lücke in den Fokus von Angreifern, müssen diese lediglich eine präparierte URL an das DNA-Center schicken, um die volle Kontrolle zu übernehmen. Hat ein Hacker Zugriff auf den Service-Port vom Kubernetes-Container-Management-System, kann er Befehle mit erhöhten Rechten ausführen und Container kompromittieren.
Weitere Lücken
Schwachstellen mit dem Bedrohungsgrad "hoch" finden sich in Identity Services Engine EAP TLS Certificate, IoT Field Network Director und Meeting Server Media Services. Setzen Angreifer an diesen Lücken an, können Sie Systeme per DoS-Angriff ausschalten oder Zugriff auf eigentlich abgeriegelte Informationen bekommen.
Darüber hinaus flickt Cisco noch weitere Produkte und stellt Sicherheitspatches für Lücken mit der Risikobewertung "mittel" bereit.
Liste nach Bedrohungsgrad absteigend sortiert:
- Digital Network Architecture Center Static Credentials
- Digital Network Architecture Center Authentication Bypass
- Digital Network Architecture Center Unauthorized Access
- Identity Services Engine EAP TLS Certificate Denial of Service
- IoT Field Network Director Cross-Site Request Forgery
- Meeting Server Media Services Denial of Service
- Enterprise NFV Infrastructure Software Web Management Interface Path Traversal
- Enterprise NFV Infrastructure Software Linux Shell Access
- Identity Services Engine Logs Cross-Site Scripting
- TelePresence Server Cross-Frame Scripting
- Unified Communications Manager and Cisco Unified Presence Cross-Site Scripting
- Identity Services Engine Cross-Site Scripting
- Firepower Threat Defense Software Policy Bypass
- IP Phone 7800 Series and 8800 Series Denial of Service
- SocialMiner Notification System Denial of Service
- Enterprise NFV Infrastructure Software CLI Command Injection
(des)