Ciscos "Security Manager" diente bisher als zentrales Verwaltungssystem für verschiedene Sicherheitsprodukte. Allerdings enthielt er drei Schwachstellen die es Angreifern ermöglicht hätten, ohne Authentifizierung sensible Daten aus der Ferne zu stehlen oder auf unsicheren Systemen beliebige Befehle auszuführen. Cisco hat nun Maßnahmen ergriffen um diese Lücken zu schließen und die Sicherheit des Systems zu optimieren. Es wird empfohlen; das System umgehend zu aktualisieren.
Für die Angreifbarkeit der Software waren fest im Code hinterlegte (und dazu noch schlecht geschützte) Zugangsdaten, Sicherheitsmängel bei der Verarbeitung übermittelter Inhalte (Java-Deserialisierung) und unzureichende Validierungsmechanismen bei Pfadangaben (Path Traversal) verantwortlich. Das Sicherheitsrisiko hat Cisco in einem Fall als "kritisch", in den beiden anderen als "hoch" bewertet.
Ein Update steht noch aus
Verwundbar über alle drei Lücken sind Cisco Security Manager-Releases bis einschließlich 4․21. Vor zwei Angriffsmöglichkeiten (CVE-2020-27130/CVSS-Score 9․1, "Critical" und CVE-2020-27125/CVSS 7․4, "High") schützt laut Ciscos aktuellen Security Advisories ein Update auf die neue Security Manager-Version 4․22. Die dritte Lücke (CVE-2020-27131/CVSS 8․1, "High") ist allerdings noch immer vorhanden: Sie soll erst in der kommenden Version 4․23 beseitigt werden. Workarounds nennt Cisco im Advisory nicht.
- Security Manager Path Traversal Vulnerability (CVE-2020-27130, "Critical")
- Security Manager Static Credential Vulnerability (CVE-2020-27125, "High")
- Security Manager Java Deserialization Vulnerabilities (CVE-2020-27131, "High")
Kommentare