Wieder einmal hat Netzwerkausrüster Cisco wichtige Sicherheitsupdates veröffentlicht. Diesmal schließen sie zwei als "kritisch" eingestufte Sicherheitslücken im webbasierten Management-Interface von Small Business 220 Smart Switches, die vor allem in kleinen und mittleren Unternehmen zum Einsatz kommen.
Beide Lücken sind laut Ciscos Security Advisories aus der Ferne und ohne vorherige Authentifizierung ausnutzbar. CVE-2019-1912 erlaubt das Hochladen beliebiger Dateien und via CVE-2019-1913 lässt sich ein Buffer-Overflow verursachen, der die anschließende Ausführung beliebigen Codes mit Root-Rechten ermöglicht. Exploits funktionieren jeweils mittels speziell präparierter HTTP(S)-Requests an das Web Management Interface.
Über beide Sicherheitslücken angreifbar sind Switches, auf denen eine Firmware-Version vor 1.1.4.4 läuft und für die das verwundbare Web-Interface aktiviert ist. Wie man herausfindet, ob dies der Fall ist und wie man die Geräte aktualisiert, beschreibt Cisco in den Advisories zu CVE-2019-1912 beziehungsweise zu CVE-2019-1913.
Cisco hat noch einen weiteren Sicherheitshinweis für Small Business 220 Smart Switches veröffentlicht. Die darin beschriebene Lücke (CVE-2019-1914) stuft der Hersteller allerdings lediglich mit dem Schweregrad "Medium" ein. Sie betrifft ebenfalls alle Firmware-Versionen vor 1.1.4.4.
Quelle: Cisco schließt kritische Lücken in Small Business Smart Switches der Serie 220 | heise online