Cisco behebt kritische Sicherheitslücken im IOS-Betriebssystem

Cisco hat weiterhin als zwölf Schwachstellen im IOS-/IOS-XE-System von Netzwerkgeräten geschlossen. Diese konnten von Angreifern genutzt werden – um Geräte zu übernehmen. Die Updates zur Behebung der Sicherheitslücken sind verfügbar.


Davon gelten drei Lücken als besonders kritisch führt der Hersteller in einer Sicherheitswarnung aus.

Das Notfallteam des BSI CERT Bund stuft das Risiko als "sehr hoch" ein. Wer Geräte mit den Systemen hat – sollte zügig die verfügbaren Sicherheitsupdates installieren. Zwei kritischste Lücken (CVE-2017-12229 und CVE-2017-12230) klaffen in der Web-Anmeldeoberfläche von IOS XE ? eine Schwachstellen weist den maximal möglichen CVSS Score 10 von 10 auf.

Aufgrund eines Fehlers in der REST API könnte ein Angreifer alleinig durch das Senden einer präparierten API-Anfrage die Authentifizierung umgehen und das Gerät kapern. Die zweite Schwachstelle findet sich in der grafischen Benutzeroberfläche der Web-Oberfläche. Setzt ein Angreifer dort an, soll er sich aufgrund einer fehlerhaften Grundeinstellung ein Nutzerkonto für ein betroffenes Gerät erstellen und sich anschließend höhere Rechte verschaffen können.

Dir dritte kritische Lücke (CVE-2017-12240) findet sich im DCHP Relay Subsystem von ISO & IOS XE. An dieser Stelle könnte ein Angreifer durch manipulierte DHCPv4-Pakete Speicherfehler provozieren und schlimmstenfalls Schadcode ausführen.

Weitere Schwachstellen

Den Bedrohungsgrad der verbleibenden Lücken stuft Cisco mit "hoch" ein. Nutzen Angreifer diese aus könnten sie etwa Zugriff auf Daten bekommen und Geräte lahmlegen.

Sicherheitslücken nach Schweregrad absteigend sortiert:

  • Cisco IOS XE Software Web UI REST API Authentication Bypass Vulnerability
  • Cisco IOS XE Software Web UI Privilege Escalation Vulnerability
  • Cisco IOS and IOS XE Software DHCP Remote Code Execution Vulnerability
  • Cisco IOS XE Software for Cisco 5760 WLC, Cisco Catalyst 4500E Supervisor Engine 8-E, and Cisco NGWC 3850 GUI Privilege Escalation Vulnerability
  • Cisco IOS and IOS XE Software Plug-and-Play PKI API Certificate Validation Vulnerability
  • Cisco IOS and IOS XE Software Internet Key Exchange Denial of Service Vulnerability
  • Cisco IOS Software for Cisco Industrial Ethernet Switches PROFINET Denial of Service Vulnerability
  • Cisco IOS Software Common Industrial Protocol Request Denial of Service Vulnerabilities
  • Cisco IOS Software Network Address Translation Denial of Service Vulnerability
  • Cisco IOS XE Software Locator/ID Separation Protocol Authentication Bypass Vulnerability
  • Cisco IOS XE Software for Cisco ASR 1000 Series and cBR-8 Routers Line Card Console Access Vulnerability
  • Cisco IOS XE Wireless Controller Manager Denial of Service Vulnerability
  • Cisco IOS Software for Cisco Integrated Services Routers Generation 2 Denial of Service Vulnerability
  • Cisco IOS Software for Cisco Catalyst 6800 Series Switches VPLS Denial of Service Vulnerability

Zuletzt aktualisiert am Uhr





Kommentare


Anzeige