Cisco warnt vor Sicherheitslücken in Routern, Switches und AnyConnect VPN

Cisco hat mehrere Sicherheitsupdates veröffentlicht, die unter anderem Switches für kleine und mittlere Unternehmen, die Software DNA Center, Router mit StarOS und den AnyConnect VPN-Client für Windows betreffen. Angreifer sind unter Umständen in der Lage, ohne Eingabe von Anmeldedaten Switches per Denial-of-Service lahmzulegen.

Dafür sind unter anderem die 250 Series Smart Switches, die 350 Series Smart Switches sowie Managed Switches der Serien 350, 550X, Small Business 200, Small Business 300 und Small Business 500 anfällig. Eine Schwachstelle erlaubt es, einen Neustart der Switches auszulösen.

Updates erhalten allerdings nur vier Produktreihen: 250 Series Smart Switches, 350 Series Managed Switches, 350X Series Stackable Managed Switches, and 550X Series Stackable Managed Switches. Die anderen genannten Switches werden von Cisco nicht mehr unterstützt.

Die Sicherheitslücke wird laut Cisco bisher nicht aktiv ausgenutzt. Entdeckt wurde sie bei internen Tests. Den Fehler mit der Kennung CVE-2020-3363 bewertet Cisco im zehnstufigen Common Vulnerability Scoring System mit 8,6 Punkten. Zudem ist nur IPv6- und kein IPv4-Traffic betroffen.

Ein weiteres Loch steckt in der Automatisierungssoftware DNA Center vor Version 1.3.1.4. Sie gibt unter Umständen vertrauliche Informationen wie Konfigurationsdateien preis, weil Authentifizierungs-Tokens fehlerhaft verarbeitet werden. Ein Angreifer muss lediglich eine speziell gestaltete HTTPS-Anfrage an die Software schicken. Der CVSS-Score dieser Schwachstelle liegt bei 7,5 Punkten.

Die StarOS-Software von Cisco wiederum ist aufgrund einer fehlerhaften IPv6-Implementierung anfällig für Denial-of-Service. Auch hier lässt sich ein Angriff ohne Eingabe von Anmeldedaten ausführen, was der Sicherheitslücke einen CVSS-Score von 8,6 beschert. Angreifbar sind beispielsweise die ASR 5000 Series Aggregation Services Router und ihre Virtualized Packet Core-Singe Instance (VPC-SI), sobald die Vector Packet Processing aktiv ist. Ab Werk ist diese Funktion jedoch abgeschaltet.

Die Schwachstelle im AnyConnect-Client für Windows kann indes nur von authentifizierten, lokalen Angreifern ausgenutzt werden. Sie sind jedoch in der Lage, einen DLL-Hijacking-Angriff auszuführen und Schadcode mit Systemrechten einzuschleusen. Einfallstor ist hier eine speziell gestaltete IPC-Nachricht. Für AnyConnect steht die fehlerbereinigte Version 4.9.00086 zum Download bereit. Die Clients für macOS, Linux, iOS, Android und die Universal Windows Platform sind nicht betroffen.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

USA verbieten WeChat und TikTok

Das US-Handelsministerium kündigte am Freitag, 18. September an, dass es ab Sonntag, 20. September das…

24 Stunden ago

Mozilla schaltet Firefox Send und Firefox Notes ab

Wegen Sicherheitsmängeln und Mitarbeiterabbau verschlankt Mozilla sein Portfolio. Firefox Send und Firefox Notes fallen dem…

1 Tag ago

BSI warnt vor Citrix VPN-Schwachstelle

Das Bundesamt für Sicherheit in der Informationssicherheit (BSI) weist darauf hin, dass es wahrscheinlich eine…

1 Tag ago

Web-Sites langfristig bewahren

Cloudflare und Internet Archive haben sich zusammengeschlossen, um mehr vom öffentlichen Web zu archivieren und…

1 Tag ago

Patientin stirbt nach Ransomware-Angriff

Cyberkriminelle greifen zunehmend Universitäten und Krankenhäuser mit Lösegeldangriffen an. In Deutschland gab es deswegen heute…

2 Tagen ago

Wie Prozessautomatisierung bevorstehende Budgetkürzungen auffangen kann

Die letzten Wochen haben es gezeigt: Noch nie war der Zusammenhang zwischen dem Digitalisierungsgrad eines…

2 Tagen ago