Cisco warnt vor kritischen Lücken in Webex Teams für Windows und Überwachungskameras

Cisco hat mehrere Sicherheitsupdates veröffentlicht, um schwerwiegende Anfälligkeiten in Webex Teams für Windows und der Identity Services Engine zu beseitigen. Als besonders kritisch ist eine Schwachstelle in den IP-Kameras der Video Surveillance 8000 Series einzustufen.

Der Bug mit der Kennung CVE-2020-3544 wird mit 8,8 von 10 möglichen Punkten im Common Vulnerability Scoring System (CVSS) bewertet. Er ermöglicht das Einschleusen und Ausführen von Schadcode aus der Ferne sowie Denial-of-Service-Angriffe.

Entdeckt wurde die Schwachstelle von Qian Chen von Qihoo 360. Sie steckt im Cisco Discovery Protocol, einem Data-Link-Layer-Protokoll des Open System Interconnection (OSI) Netzwerk-Modells und tritt bei der Verarbeitung bestimmter Netzwerkpakete auf. Ein ähnliches Loch stopfte Cisco bereits im August in seinen Überwachungskameras.

„Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er ein bösartiges Cisco-Discovery-Protocol-Paket an ein betroffenes Gerät sendet. Ein erfolgreicher Exploit könnte es dem Angreifer ermöglichen, Code auf der betroffenen IP-Kamera auszuführen oder sie unerwartet neu zu laden, was zu einem DoS-Zustand führen könnte“, teilte Cisco mit. Nutzer sollten die aktuelle Firmware 1.0.9-4 einspielen.

7,7 von 10 Punkten erhielt eine Lücke in der Cisco Identity Services Engine (ISE). Laut Cisco ist das Web Management Interface nicht in der Lage, rollenbasierte Zugangskontrollen korrekt umzusetzen. Anmeldedaten, die nur eine Leseberechtigung erteilen, können benutzt werden, um die Konfiguration eines betroffenen Geräts zu ändern. Anfällig sind die ISE-Versionen 2.3, 2.4, 2.5, 2.6, und 2.7, nicht jedoch 2.2 und früher sowie 3.0. Entdeckt wurde die Schwachstelle von Sebastian Haller von der Deutschen Telekom.

Um einen Fehler im WebEx Teams Client für Windows ausnutzen zu können, benötigt ein lokaler Angreifer gültige Anmeldedaten für das Windows-System. Dann könnte er schädliche Windows-Bibliotheken (DLL) laden und zusammen mit WebEx Teams ausführen. Auch dieser Bug wurde von einem Mitarbeiter von Qihoo 360 entdeckt. Gepatcht wurde der Fehler in der Version 3.0.16269.0 und später.

Darüber hinaus stehen elf Patches für weitere Cisco-Produkte zur Verfügung: StarOS, SD-WAN vManage, Nexus Data Broker, Industrial Network Director, Firepower Management Center, Expressway Series und Telepresence Video Communications Server, Email Security Appliance und Vision Dynamic Signage Director. Sie sind als mittelschwer eingestuft.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Smartphonemarkt in EMEA: Apple rutscht auf Platz 4 ab

Huawei fällt sogar vom zweiten auf den fünften Rang. Der chinesische Billiganbieter Transsion überholt indes…

49 seconds ago

Aukey-Webcam PC-LM1E mit 1080P ausprobiert

Mit der PC-LM1E bietet Aukey eine USB-Webcam mit einer Auflösung von maximal 1080P. Die Übertragungsrate…

14 Stunden ago

GitHub schließt von Google entdeckte Zero-Day-Lücke

Die Microsoft-Tochter verpasst die Frist von 90 Tagen sowie die von Google gewährte Verlängerung von…

14 Stunden ago

Apples Head of Global Security wegen Bestechung angeklagt

Er soll Polizeibeamten eine Spende über 200 iPads als Gegenleistung für eine Waffenlizenz geboten haben.…

16 Stunden ago

VMware warnt vor kritischer Zero-Day-Lücke in Workspace One

Sie ermöglicht eine Code-Ausführung außerhalb der virtuellen Umgebung. Ein Angreifer benötigt allerdings gültige Anmeldedaten. VMware…

18 Stunden ago

Malware verwandelt gehackte WordPress-Websites in betrügerische Online-Shops

Cyberkriminelle kapern die Websites per Brute Force. Anschließend schleusen sie Schadcode ein, der schließlich statt…

20 Stunden ago