Cisco veröffentlicht Sicherheitsupdates wegen kritischer Schwachstelle in Routern

Cisco hat aufgrund einer kritischen Sicherheitslücke Sicherheitsupdates für verschiedene Geräte und Software veröffentlicht. Angreifer könnten die Kontrolle über Router von Cisco übernehmen. Die Sicherheitsupdates stehen zum Download bereit.


Access Points der Aironet-Serie, Ciscos TelePresence ICMP & IOS-System erhalten ähnlich wie Sicherheitsupdates.

Die Lücke im VPN-Router CVR100W findet sich in der UPnP-Implementierung und bedroht alle Geräte mit einer Firmware bis einschließlich Version 1․0․1.21. Admins sollten zügig die abgesicherte Ausgabe 1․0․1.22 installieren. Das CERT Bund stuft das von der Lücke ausgehende Risiko als "sehr hoch" ein.

Kommt eine verwundbare Firmware zum Einsatz, werden Cisco zufolge eingehende UPnP-Daten nicht korrekt überprüft, sodass es zu einem Speicherfehler kommen kann. Folglich könnte ein unautorisierter Angreifer die Lücke aus einem angrenzenden Netzwerk (Layer 2) ausnutzen und Router per DoS-Attacke lahmlegen oder sogar Schadcode mit Root-Rechten ausführen.

Der Bedrohungsgrad einer weiteren Lücke in Routern der CVR100W-Serie ist mit "mittel" eingestuft. Nutzt ein Angreifer die Schwachstelle aus – soll er die Fernwartung betreffende Sicherheitsmechanismen umgehen können.

Aironet, TelePresence ICMP & IOS

Die Access Points der Aironet-Reihe 1800⸴2800 und 3800 sind attackierbar und Angreifer könnten Schadcode mit Root-Rechten ausführen. Dennoch stuft Cisco die Lücke nur mit "hoch" ein, da eine Attacke nur unter bestimmten Voraussetzungen erfolgreich ist. So sind etwa nur Access Points mit der Softwareversion 8․3․102.0 verwundbar. Weitere Infos finden sich in der Sicherheitswarnung.

Die Verarbeitung von Paketen in Ciscos TelePresence ICMP ist fehleranfällig. Angreifer könnten Geräte mit präparierten Paketen zum Erliegen bringen. Eine Lücke (CVE-2017-3876) in Ciscos IOS XR Software bietet sich ebenfalls für DoS-Attacken an. Für beide Schwachstellen sind Sicherheitsupdates verfügbar.

Zuletzt aktualisiert am Uhr





Kommentare


Anzeige