Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
 
News Disclaimer

Cisco: Angreifer können Befehle auf IP-Telefonen ausführen, Update kommt nicht

08.08.2024

 zur Newsdatenbank home

Zu bestimmten IP-Telefonen hat Cisco Sicherheitswarnungen veröffentlicht, da Angreifer Befehle darauf ausführen oder sie mit DoS-Angriffen lahmlegen können. Das Unternehmen warnt außerdem vor Cross-Site-Scripting-Schwachstellen in Ciscos ISE. Mittlerweile ist für eine kürzlich gemeldete Sicherheitslücke zudem ein Proof-of-Concept-Exploit erschienen.

Angreifer können über drei als kritisch eingestufte Sicherheitslücken über das Webinterface der SPA300- und SPA500-Baureihen von Ciscos IP-Telefonen beliebige Befehle unterschieben (CVE-2024-20450, CVE-2024-20452, CVE-2024-20454; CVSS 9.8, Risiko "kritisch"). Zwei weitere Lücken im Webinterface ermöglichen es zudem, die Geräte mittels DoS-Angriff lahmzulegen (CVE-2024-20451, CVE-2024-20453; CVSS 7.5, hoch).

Laut Cisco's Sicherheitsmitteilung gebe es keinen Workaround und auch keine aktualisierte Software zum Schließen der Lücken. Demnach sind die Produkte am Ende ihres Lebenszyklus angelangt.

In Ciscos Smart Software Manager On-Prem (SSM On-Prem) wurde Mitte Juli eine kritische Sicherheitslücke bekannt. Ohne vorherige Authentifizierung können Angreifer darüber Passwörter von Nutzerkonten einschließlich des Administratorkontos ändern und so die Systeme kompromittieren (CVE-2024-20419, CVSS 10, kritisch). Nun hat Cisco die Sicherheitsmitteilung aktualisiert: Mindestens einen Proof-of-Concept-Exploit gibt es, der das Ausnutzen der Schwachstelle demonstriert. Spätestens jetzt sollten IT-Verantwortliche die bereitstehenden Updates installieren.

Zudem können authentifizierte Angreifer in der Cisco Identity Services Engine (ISE) aus der Ferne Cross-Site-Scripting-Attacken gegen Nutzer der webbasierten Verwaltungsoberfläche starten (CVE-2024-20443, CVSS 5.4, mittel; CVE-2024-20479, CVSS 4.8, mittel). Beliebigen Skript-Code können sie dadurch im Kontext der Verwaltungsoberfläche ausführen oder sensible Informationen abgreifen. Niedrige Nutzerrechte sind für die erste Lücke nötig, für die zweite hingegen Admin-Rechte. IT-Verantwortliche müssen laut der Sicherheitsmitteilung Cisco ISEs der Versionen 2.7 und 3.0 auf einen unterstützten Software-Stand bringen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89