Drei Lücken mach(t)en Ciscos Security Manager zur zentralen Verwaltung und Überwachung von Sicherheitsprodukten unsicher. Angreifer hätten sie missbrauchen können, um aus der Ferne und ohne Authentifizierung vertrauliche Informationen abzugreifen oder beliebige Befehle auf verwundbaren Systemen auszuführen.
Für die Angreifbarkeit der Software waren fest im Code hinterlegte (und dazu noch schlecht geschützte) Zugangsdaten, Sicherheitsmängel bei der Verarbeitung übermittelter Inhalte (Java-Deserialisierung) und unzureichende Validierungsmechanismen bei Pfadangaben (Path Traversal) verantwortlich. Das Sicherheitsrisiko hat Cisco in einem Fall als "kritisch", in den beiden anderen als "hoch" bewertet.
Ein Update steht noch aus
Verwundbar über alle drei Lücken sind Cisco Security Manager-Releases bis einschließlich 4.21. Vor zwei Angriffsmöglichkeiten (CVE-2020-27130/CVSS-Score 9.1, "Critical" und CVE-2020-27125/CVSS 7.4, "High") schützt laut Ciscos aktuellen Security Advisories ein Update auf die neue Security Manager-Version 4.22. Die dritte Lücke (CVE-2020-27131/CVSS 8.1, "High") ist allerdings noch immer vorhanden: Sie soll erst in der kommenden Version 4.23 beseitigt werden. Workarounds nennt Cisco im Advisory nicht.
- Security Manager Path Traversal Vulnerability (CVE-2020-27130, "Critical")
- Security Manager Static Credential Vulnerability (CVE-2020-27125, "High")
- Security Manager Java Deserialization Vulnerabilities (CVE-2020-27131, "High")
Update 08.12.2020:
Jetzt updaten: Cisco schiebt Update für Security-Manager-Lücke von November nach
Für eine Sicherheitslücke mit "High"-Einstufung im Security Manager stand noch ein Fix aus. Da Proof-of-Concept-Code online ist, sollten Nutzer jetzt handeln.
Bereits Mitte vergangenen Monats hatte Netzwerkausrüster Cisco auf insgesamt drei Sicherheitslücken in seinem "Security Manager" zur zentralen Verwaltung und Überwachung von Sicherheitsprodukten hingewiesen. Zwei der Lücken waren im Zuge der Veröffentlichung der neuen Security Manager-Version 4.22 geschlossen worden. Ein Update zum Beheben von CVE-2020-27131 (Risikoeinstufung "High", CVSS-Score 8.1) stand allerdings noch aus, und auch Workarounds hatte der Hersteller nicht genannt.
Wie heise online in einem Alert zu den Cisco-Lücken berichtet hatte, wollte Cisco ursprünglich erst in die kommende Version 4.23 einen Fix einbauen. Nun fährt das Unternehmen eine etwas andere Strategie: Das Cisco Security Manager Release 4.22 Service Pack 1 beseitigt das Sicherheitsproblem. Weitere Informationen finden Cisco-Kunden im Advisory:
Proof-of-Concept-Code öffentlich verfügbar
Die ID CVE-2020-27131 fasst Sicherheitsmängel bei der Verarbeitung übermittelter Inhalte (Java-Deserialisierung) zusammen. Entfernte, unauthentifizierte Angreifer hätten diese laut Cisco unter bestimmten Voraussetzungen zum Ausführen beliebiger Befehle auf betroffenen Systemen missbrauchen können.
Das frisch veröffentlichte Service Pack sollte auch deshalb zeitnah angewendet werden, weil der Lücken-Entdecker Florian Hauser alias frycos bereits Mitte November, zu dem Zeitpunkt also, als Ciscos Advisory erschien, Proof-of-Concept-Code bei GitHub veröffentlicht hat. Er beklagte die fehlende Rückmeldung und Aktivität des Herstellers während des vorangegangen Responsible-Disclosure-Prozesses sowie die Tatsache, dass Version 4.22 trotz seiner Hinweise noch immer keinen Fix enthielt.
Quelle: Jetzt updaten: Cisco schiebt Update für Security-Manager-Lücke von November nach | heise online