Verschiedene Produkte des Netzwerkausrüsters Cisco könnten von Angreifern attackiert werden - im schlimmsten Fall ist auch der Zugriff auf Geräte als Admin möglich. Entsprechende Sicherheitsupdates stehen bereits zum Download bereit.

Von der gefährlichsten Schwachstelle (CVE-2020-3297) betroffen sind die Small Business Smart und Managed Switches. Eine Lücke im Session-Management des Web-Interface ermöglicht entfernten Angreifern den Zugriff ohne Authentifizierung. Zudem ist die Übernahme einer Admin-Session möglich. Eingestuft wurde das von der Lücke ausgehende Sicherheitsrisiko als "hoch". Die Firmware-Version 2.5.5.47 ist abgesichtert - die Modelle Small Business 200 Series Smart Switches, Small Business 300 Series Managed Switches und Small Business 500 Series Stackable Managed Switches erhalten das Update jedoch nicht, da der Support ausgelaufen ist.

Die verbleibenden Sicherheitslücken wurden mit dem Schweregrad "mittel" eingestuft: Da einige unverschlüsselte Zugangsdaten nicht sicher genug gespeichert sind, wäre unter anderem ein Angriff auf die Digital Network Architecture und infolgedessen der Zugriff auf eigentlich abgeschottete Daten möglich.

Anfällig für XSS-Attacken sind die Identity Services Engine, Small Business RV042 und RV042G Routers und der Unified Communications Manager - Systemdateien könnten durch Ausnutzung einer Schwachstelle (CVE-2020-3432) im AnyConnect Secure Mobility Client für macOS manipuliert werden.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE