Suchen

44 Schwachstellen, neun davon „kritisch“ Kritische Sicherheitslücken bei Cisco-Produkten

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Für verschiedene Cisco-Produkte liegen teilweise gravierende Sicherheitslücken vor. Das Unternehmen stellt Updates zur Verfügung, die diese Sicherheitslücken schließen. Die Updates sollten dringend zeitnah installiert werden, da es ohne diese Aktualisierungen passieren kann, dass Angreifer Cisco-Produkte aus der Ferne übernehmen.

Für Cisco-Anwendungen sind im Mai 44 Sicherheitslücken bekannt geworden, durch die die Lösungen teilweise auch aus der Ferne angreifbar sind.
Für Cisco-Anwendungen sind im Mai 44 Sicherheitslücken bekannt geworden, durch die die Lösungen teilweise auch aus der Ferne angreifbar sind.
(Bild: Pixabay / CC0 )

Der Netzwerkausrüster Cisco stellt Updates zur Verfügung, die verschiedene Sicherheitslücken der Stufen „mittel“ bis „kritisch“ schließen. Insgesamt sind von Cisco bisher im Mai 44 Sicherheitslücken eingestuft worden, neun davon kritisch.

Remotezugriff durch Angreifer möglich

Besonders gravierend ist eine Sicherheitslücke (CVE-2018-0258) der Produkte „Prime Data Center Network Manager“ (DCNM) ab Version 10.0 und „Prime Infrastructure“ (PI). Angreifer können sich über das Netzwerk ohne Anmeldung verbinden und Daten speichern sowie ausführen.

Auch die Sicherheitslücke CVE-2018-0253 im Cisco Secure Access Control System (ACS) ist gefährlich, da Angreifer auch über diese Lücke remote zugreifen können. Alle Versionen, die älter als Version 5.8 Patch 7 sind, sollten aktualisiert werden. Die installierte Version kann mit der Cisco Secure ACS CLI abgerufen werden. Die Vorgehensweise zeigt Cisco in der Sicherheitswarnung.

Eine Sicherheitslücke in der Smart Install-Funktion von Cisco IOS und Cisco IOS XE (CVE-2018-0171) könnte es einem nicht authentifizierten Angreifer ermöglichen, Denial-of-Service (DoS) Attacken auszuführen oder anderen Code zu starten. Das Update stellt eine neue Version des Updates dar, welches bereits im März veröffentlicht wurde.

Die Lücke CVE-2018-0264 in Cisco WebEx ermöglicht ebenfalls die Übernahme von Endgeräten. Wenn Anwender eine ARF-Datei ausführen, die den Code enthält die Lücke zu nutzen, kann Code auf dem Endgerät des Anwenders installiert werden. Auch hier sollte die neue Version installiert werden.

Weitere Sicherheitslücken mit der Sicherheitsstufe „hoch“ und „mittel“

Neben den kritischen Sicherheitslücken werden im Mai auch 12 Sicherheitslücken der Stufe „Hoch“ veröffentlicht. Diese betreffen, neben WLAN-Produkten, ebenfalls wieder ISO und IOS XE. Die Lücken sollten ebenfalls zeitnah geschlossen werden.

Weitere 23 Lücken werden als „Mittel“ eingestuft. Betroffen sind unter anderem Cisco WebEx, IOS XR, Firepower und Aironet. Administratoren sollten die einzelnen Produkte auf Aktualität überprüfen und die Lücken schließen.

(ID:45315295)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist