Cisco stattet Netzwerk-Appliances versehentlich mit voreingestellten Passwörtern aus

Cisco warnt vor einer kritischen Sicherheitslücke in Netzwerk-Appliances der Produktreihen ENCS 5400-W und CSP 5000-W. Deren Software enthält voreingestellte Nutzerkonten mit fest vergebenen Passwörtern. Entdeckt wurde der Fehler bei internen Tests der Virtual Wide Area Application Services (VWWAS) mit der Cisco Enterprise NFV Infrastructure Software (NFVIS).

NFVIS erlaubt es Cisco-Kunden, Netzwerkdienste wie den Integrated Services Virtual Router zu virtualisieren. Es stehen auch Virtual WAN Optimization, Virtual ASA, Virtual Wireless LAN Controller und Next Generation Virtual Firewall zur Verfügung.

Betroffen sind nur Appliances, die VWAAS mit einem NFVIS-Image ausführen, in zwar in den Versionen 6.4.5, 6.4.3d und früher. Das voreingestellte Kennwort hat zur Folge, dass sich ein Angreifer aus der Ferne ohne Anmeldedaten einloggen und auf das NFVIS-Befehlszeilen-Interface eines betroffenen Geräts zugreifen kann, und zwar mit Administratorrechten.

Eine Behelfslösung steht laut Cisco nicht zur Verfügung. Nutzer können sich also nur durch die Installation eines von Cisco bereitgestellten Updates schützen. Die Anfälligkeit mit der Kennung CVE-2020-3446 bewertet Cisco im zehnstufigen Common Vulnerability Scoring System mit 9,8 Punkten.

Angriffe sind allerdings nur unter bestimmten Umständen möglich, unter anderem über den Ethernet-Management-Port einer ENCS 5400-W Appliance. Sollte eine geroutete IP-Adresse konfiguriert sein, soll auch ein Zugriff aus der Ferne möglich sein.

Dasselbe gilt auch für die CSP 5000-W Appliance, allerdings nur über den ersten Port einer I350 PCIe Ethernet-Adapter-Karte. Darüber hinaus kann ein Nutzer, der gültige Anmeldedaten für das Befehlszeilen-Interface der VWAAS-Software oder das Cisco Integrated Management Controller Interface besitzt, auch auf das Befehlszeilen-Interface der NFVIS zugreifen.

Weitere Schwachstellen stecken in IP-Kameras der Produktreihe Video Surveillance 8000. Sie sind anfällig für Denial-of-Service. Außerdem bietet Cisco einen Sicherheitspatch für eine Lücke im Cisco Smart Software Manager On-Prem an. Er soll eine nicht autorisierte Ausweitung von Nutzerrechten verhindern.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Chief Digital Officer an Bord

Es gibt einen Wandel in der Verantwortlichkeit für Informationstechnologie in Unternehmen. Zunehmend treten Chief Digital…

1 Tag ago

Digitale OT-Supply-Chain gefährdet

Operational Technology (OT) oder auf Deutsch die Steuerung von Produktionsanlagen gerät immer mehr ins Visier…

1 Tag ago

FBI warnt vor Diebstahl von Passwörtern per QR-Code

Cyberkriminelle haben es auch auf Finanzdaten abgesehen. Sie machen sich den Umstand zunutze, dass QR-Codes…

2 Tagen ago

Project: Opera stellt Browser für Krypto-Dienste vor

Im Mittelpunkt steckt die Web3-Integration. Project unterstützt Bitcoin, Celo, Ethereum und Nervos. Weitere Kryptowährungen sollen…

2 Tagen ago

Cybersicherheit ohne menschliches Zutun

Solid-State Drives (SSD) mit integrierter künstlicher Intelligenz (KI) bieten Hardware-Schutz vor Cyberangriffen. Jetzt gibt es…

2 Tagen ago

Netzwerkadministration wird zu Strategy First

Netzwerkadministratoren stehen dieses Jahr vor neuen Herausforderungen wie Zero Trust, Forderungen nach höherer Konnektivität und…

2 Tagen ago