Netzwerkausrüster Cisco hat Sicherheitsupdates veröffentlicht, die drei Lücken mit "Critical"-, vier weitere mit "High"- sowie sechs mit "Medium"-Einstufung aus verschiedenen Produkten entfernen. Die kritischen Lücken sind durchweg aus der Ferne ohne Authentifizierung ausnutzbar. Zuständige Administratoren sollten zügig handeln.
Diese Meldung beschränkt sich auf die aktuellen Critical- und High-Einstufungen. Eine entsprechend gefilterte Suche in Ciscos Security-Center liefert eine Übersicht über separate "Medium"-Advisories.
Kritische Lücken remote angreifbar
Jene Sicherheitslücken, die als kritisch bewertet wurden, betreffen die Application-Hosting-Plattform Application Services Engine bis einschließlich Version 1.1(3d) sowie die ACI Multi-Site Orchestrator (MSO)-Software in Version 3.0. Letztere ist allerdings nur dann verwundbar, wenn sie auf der Application Services Engine installiert wurde. Ebenfalls angreifbar sind Nexus-Switches der 3000er- und 9000er-Serien, auf denen bestimmte (verwundbare) Versionen von Cisco NX-OS, nämlich 9.3(5) oder 9.3(6) laufen. Die 9000er Switches müssten für einen Angriff zusätzlich noch im Standalone NX-OS-Modus betrieben werden.
Alle drei Sicherheitslücken können von Angreifern aus der Ferne und ohne vorherige Authentifizierung ausgenutzt werden, um Dateizugriff mit Root-Rechten auf einem Gerät zu erlangen (CVE-2021-1361, NX-OS/Nexus-Switches), mit Admin-Rechten auf eine Programmierschnittstelle zuzugreifen (CVE-2021-1388, MSO) oder um ihre Rechte auszuweiten, System- und andere Informationen abzurufen und in beschränktem Umfang Konfigurationseinstellungen zu ändern (CVE-2021-1393, Application Services Engine).
Update- und weitere Informationen nennen Ciscos Security Advisories:
- CVE-2021-1361, NX-OS auf Nexus-Switches
- CVE-2021-1388, Cisco ACI Multi-Site Orchestrator (MSO)
- CVE-2021-1393 (+ Medium-Lücke CVE-2021-1396), Application Services Engine
Zwei der Lücken hohen Schweregrads (CVE-2021-1227, CVE-2021-1387) fußen auf Programmierfehlern in der NX-API und dem IPv6-Stack in NX-OS. Je nach Konfiguration können verschiedene Geräte, die das Netzwerkbetriebssystem nutzen, angreifbar sein. Auch ein Missbrauch der "High"-Lücken erfordert keine vorherige Authentifizierung und funktioniert teils über das Internet, teils nur aus benachbarten Netzwerken. Denial-of-Service-Zustände (DoS), unbefugte Systemzugriffe und Konfigurationsänderungen an den Geräten sind einige der möglichen Angriffsfolgen.
Potenziell betroffene Geräte und für sie verfügbare Aktualisierungen können folgenden Advisories entnommen werden:
- CVE-2021-1227, NX-OS / CVE-2021-1387, NX-OS
- CVE-2021-1228, Nexus 9000 / CVE-2021-1230, Nexus 9000