Netzwerkausrüster Cisco hat am gestrigen Mittwoch insgesamt 25 Sicherheitshinweise zu verschiedenen Produkten veröffentlicht. Sieben von ihnen beziehen sich auf Schwachstellen mit hohem Sicherheitsrisiko; zwei Schwachstellen gelten gar als kritisch.
Vor den insgesamt neun Schwachstellen mit "High"- bis "Critical"-Bewertung warnt auch das US-CERT. Sie stecken in Ciscos SD-WAN-Lösung, der DNA-Center-Plattform, StarOS, der Videokonferenz-Plattform TelePresence, den Management-Interfaces der Router RV110W, RV130W und RV215W, Prime Service Catalog und dem Kommandozeilen-Interface (CLI) von Meeting Server. Einige der Schwachstellen können aus der Ferne und ohne vorherige Authentifizierung ausgenutzt werden, um etwa Denial-of-Service-Zustände auszulösen oder Authentifizierungsmechanismen zu umgehen.
Besitzer potenziell betroffener Geräte beziehungsweise Software finden in Ciscos Sicherheitshinweisen Details zu verwundbaren Versionen, Workarounds und verfügbaren Updates.
Einstufung "Critical": DNA Center und SD-WAN Solution
Eine der als kritisch eingestuften Schwachstellen betrifft den Authentifizierungsmechanismus des DNA Centers (CVE-2019-1848). Laut Ciscos Advisory ist CVE-2019-1848 aus benachbarten Netzwerken ohne Authentifizierung ausnutzbar. Unter Umgehung des besagten Mechanismus könnte sich ein Angreifer Zugriff auf kritische Infrastrukturen verschaffen. Betroffen seien alle Software-Releases vor Version 1.3. Updates für DNA Center sind im Software-Center verfügbarr und können wie gewohnt durch registrierte Nutzer heruntergeladen werden.
Auch für die zweite kritische Schwachstelle gibt es Updates im Software-Center: CVE-2019-1625 befindet sich im CLI von Ciscos SD-WAN-Solution und erlaubt einem lokalen, angemeldeten Angreifer das Erlangen von root-Rechten. Betroffen sind laut Ciscos Sicherheitshinweis die Softwareprodukte vBond Orchestrator, vManage Network Management und vSmart Controller, die vEdge Cloud Router Plattform sowie Router der Serien vEdge 100, 1000, 2000 und 5000 – jeweils unter der Voraussetzung, dass darauf eine SD-WAN-Solution-Version vor den abgesicherten Versionen 18.3.6, 18.4.1 oder 19.1.0 läuft.
Quelle: Cisco schließt zwei kritische und zahlreiche weitere Schwachstellen | heise online