Exploit für schwerwiegende Sicherheitslücke in Cisco Security Manager verfügbar

Cisco weist darauf hin, dass ein Exploit für eine schwerwiegende Sicherheitslücke im Cisco Security Manager im Umlauf ist. Die Schwachstelle wurde nach Angaben des Unternehmens nun in der Version 4.22 der Software geschlossen, die seit vergangener Woche verfügbar ist.

Der Cisco Security Manager hilft Administratoren bei der Verwaltung von Richtlinien für Sicherheitsgeräte des Unternehmens. Dazu gehören Firewall, VPN, Adaptive Security Appliances (ASA), Firepower-Geräte und weitere Switches und Router.

Unter der Kennung CVE-2020-27130 führt Cisco in seiner Sicherheitswarnung eine Path-Traversal-Anfälligkeit. Sie erlaubt es einem Angreifer unter Umständen, ohne Eingabe von Anmeldedaten Dateien von einem betroffenen Gerät herunterzuladen. Im Common Vulnerability Scoring System (CVSS) ist die Lücke mit 9,1 von 10 möglichen Punkten bewertet. Betroffen ist Cisco Security Manager 4.21 und früher.

„Die Schwachstelle beruht auf einer unsachgemäßen Validierung von Path-Traversal-Zeichenfolgen innerhalb von Anfragen an ein betroffenes Gerät. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine speziell gestaltete Anfrage an das betroffene Gerät sendet“, teilte Cisco mit.

Offenbar reagierte Cisco mit seinem Advisory auf die Veröffentlichung von Beispielcode für einen Exploit für insgesamt 12 Anfälligkeiten in Cisco Security Manager durch den Forscher Florian Hauser vom Sicherheitsanbieter Code White. Er hatte die Schwachstellen entdeckt und an Cisco gemeldet. Per Twitter rechtfertigte Hauser sein Vorgehen damit, dass Cisco nicht mehr auf seine Rückfragen reagiert und er die Fehler bereits vor 120 Tagen an Cisco weitergeleitet habe.

„Mehrere ohne Authentifizierung ausnutzbare Anfälligkeiten wurden am 13. Juli 2020 an Cisco übermittelt und laut Cisco am 10. November 2020 mit Version 4.22 gepatcht. Die Versionshinweise nennen die Anfälligkeiten nicht, Sicherheitswarnungen wurden nicht veröffentlicht“, schreibt der Forscher.

Das jetzt veröffentlichte Update auf die Version 4.22 beseitigt allerdings nur insgesamt drei Schwachstellen. Ungepatcht bleiben mehrere Schwachstellen in der Java-Deserialisierungs-Funktion des Security Managers. Sie will Cisco im kommenden Release 4.23 korrigieren. Befehlslösungen oder andere Maßnahmen, um sich vor Angriffen zu schützen, nannte Cisco nicht.

„Ein Angreifer könnte die Anfälligkeiten ausnutzen, in dem er ein schädliches serialisiertes Java-Paket an einen speziellen Listener eines betroffenen Systems sendet“, räumte Cisco ein. „Ein erfolgreicher Exploit würde es dem Angreifer erlauben, beliebige Befehle auf dem Gerät mit den Rechten der NT Authority/System auf einem Windows-Host auszuführen.“

Cisco betonte, dass die Schwachstellen bisher nicht für aktive Angriffe ausgenutzt werden.