Cisco hat mehrere Sicherheitsupdates veröffentlicht, die unter anderem Switches für kleine und mittlere Unternehmen, die Software DNA Center, Router mit StarOS und den AnyConnect VPN-Client für Windows betreffen. Angreifer sind unter Umständen in der Lage, ohne Eingabe von Anmeldedaten Switches per Denial-of-Service lahmzulegen.
Updates erhalten allerdings nur vier Produktreihen: 250 Series Smart Switches, 350 Series Managed Switches, 350X Series Stackable Managed Switches, and 550X Series Stackable Managed Switches. Die anderen genannten Switches werden von Cisco nicht mehr unterstützt.
Die Sicherheitslücke wird laut Cisco bisher nicht aktiv ausgenutzt. Entdeckt wurde sie bei internen Tests. Den Fehler mit der Kennung CVE-2020-3363 bewertet Cisco im zehnstufigen Common Vulnerability Scoring System mit 8,6 Punkten. Zudem ist nur IPv6- und kein IPv4-Traffic betroffen.
Ein weiteres Loch steckt in der Automatisierungssoftware DNA Center vor Version 1.3.1.4. Sie gibt unter Umständen vertrauliche Informationen wie Konfigurationsdateien preis, weil Authentifizierungs-Tokens fehlerhaft verarbeitet werden. Ein Angreifer muss lediglich eine speziell gestaltete HTTPS-Anfrage an die Software schicken. Der CVSS-Score dieser Schwachstelle liegt bei 7,5 Punkten.
Die StarOS-Software von Cisco wiederum ist aufgrund einer fehlerhaften IPv6-Implementierung anfällig für Denial-of-Service. Auch hier lässt sich ein Angriff ohne Eingabe von Anmeldedaten ausführen, was der Sicherheitslücke einen CVSS-Score von 8,6 beschert. Angreifbar sind beispielsweise die ASR 5000 Series Aggregation Services Router und ihre Virtualized Packet Core-Singe Instance (VPC-SI), sobald die Vector Packet Processing aktiv ist. Ab Werk ist diese Funktion jedoch abgeschaltet.
Die Schwachstelle im AnyConnect-Client für Windows kann indes nur von authentifizierten, lokalen Angreifern ausgenutzt werden. Sie sind jedoch in der Lage, einen DLL-Hijacking-Angriff auszuführen und Schadcode mit Systemrechten einzuschleusen. Einfallstor ist hier eine speziell gestaltete IPC-Nachricht. Für AnyConnect steht die fehlerbereinigte Version 4.9.00086 zum Download bereit. Die Clients für macOS, Linux, iOS, Android und die Universal Windows Platform sind nicht betroffen.
Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…