Exploit für schwerwiegende Sicherheitslücke in Cisco Security Manager verfügbar

Cisco weist darauf hin, dass ein Exploit für eine schwerwiegende Sicherheitslücke im Cisco Security Manager im Umlauf ist. Die Schwachstelle wurde nach Angaben des Unternehmens nun in der Version 4.22 der Software geschlossen, die seit vergangener Woche verfügbar ist.

Der Cisco Security Manager hilft Administratoren bei der Verwaltung von Richtlinien für Sicherheitsgeräte des Unternehmens. Dazu gehören Firewall, VPN, Adaptive Security Appliances (ASA), Firepower-Geräte und weitere Switches und Router.

Unter der Kennung CVE-2020-27130 führt Cisco in seiner Sicherheitswarnung eine Path-Traversal-Anfälligkeit. Sie erlaubt es einem Angreifer unter Umständen, ohne Eingabe von Anmeldedaten Dateien von einem betroffenen Gerät herunterzuladen. Im Common Vulnerability Scoring System (CVSS) ist die Lücke mit 9,1 von 10 möglichen Punkten bewertet. Betroffen ist Cisco Security Manager 4.21 und früher.

„Die Schwachstelle beruht auf einer unsachgemäßen Validierung von Path-Traversal-Zeichenfolgen innerhalb von Anfragen an ein betroffenes Gerät. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine speziell gestaltete Anfrage an das betroffene Gerät sendet“, teilte Cisco mit.

Offenbar reagierte Cisco mit seinem Advisory auf die Veröffentlichung von Beispielcode für einen Exploit für insgesamt 12 Anfälligkeiten in Cisco Security Manager durch den Forscher Florian Hauser vom Sicherheitsanbieter Code White. Er hatte die Schwachstellen entdeckt und an Cisco gemeldet. Per Twitter rechtfertigte Hauser sein Vorgehen damit, dass Cisco nicht mehr auf seine Rückfragen reagiert und er die Fehler bereits vor 120 Tagen an Cisco weitergeleitet habe.

„Mehrere ohne Authentifizierung ausnutzbare Anfälligkeiten wurden am 13. Juli 2020 an Cisco übermittelt und laut Cisco am 10. November 2020 mit Version 4.22 gepatcht. Die Versionshinweise nennen die Anfälligkeiten nicht, Sicherheitswarnungen wurden nicht veröffentlicht“, schreibt der Forscher.

Das jetzt veröffentlichte Update auf die Version 4.22 beseitigt allerdings nur insgesamt drei Schwachstellen. Ungepatcht bleiben mehrere Schwachstellen in der Java-Deserialisierungs-Funktion des Security Managers. Sie will Cisco im kommenden Release 4.23 korrigieren. Befehlslösungen oder andere Maßnahmen, um sich vor Angriffen zu schützen, nannte Cisco nicht.

„Ein Angreifer könnte die Anfälligkeiten ausnutzen, in dem er ein schädliches serialisiertes Java-Paket an einen speziellen Listener eines betroffenen Systems sendet“, räumte Cisco ein. „Ein erfolgreicher Exploit würde es dem Angreifer erlauben, beliebige Befehle auf dem Gerät mit den Rechten der NT Authority/System auf einem Windows-Host auszuführen.“

Cisco betonte, dass die Schwachstellen bisher nicht für aktive Angriffe ausgenutzt werden.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

7 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

11 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

12 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

12 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

13 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

15 Stunden ago