Cisco Smart Switches mit schwerwiegenden Sicherheitslücken gespickt

Cyber Security News

Die Netzwerkgeräte der Einstiegsklasse für KMUs könnten Angriffe aus der Ferne ermöglichen, die darauf abzielen, Informationen zu stehlen, Malware einzuschleusen und den Betrieb zu stören.

Cisco hat mehrere hochgradige Sicherheitslücken in den Cisco Small Business 220 Series Smart Switches markiert und gepatcht, die Session-Hijacking, beliebige Codeausführung, Cross-Site-Scripting und HTML-Injection ermöglichen könnten.

Darüber hinaus wurden Fixes für hochgradige Probleme im AnyConnect Secure Mobility Client, im Cisco DNA Center und in der Cisco Email Security Appliance veröffentlicht, zusammen mit einer Reihe von Patches für mittelschwere Schwachstellen in AnyConnect, Jabber, Meeting Server, Unified Intelligence Center und Webex.

Die Schwachstellen mit hohem Schweregrad sind wie folgt: CVE-2021-1566: Cisco Email Security Appliance und Cisco Web Security Appliance (Sicherheitslücke bei der Zertifikatsvalidierung) CVE-2021-1134: Cisco DNA Center (Sicherheitslücke bei der Zertifikatsvalidierung) CVE-2021-1541 bis 1543; CVE-2021-1571: Cisco Small Business 220 Series Smart Switches (Session Hijacking, beliebige Code-Ausführung, Cross-Site Scripting, HTML Injection) CVE-2021-1567: Cisco AnyConnect Secure Mobility Client für Windows mit VPN Posture (HostScan) Modul (DLL Hijacking)

Das schwerwiegendste Problem in dieser Reihe von Patches wird als CVE-2021-1542 in den Cisco Small Business 220 Series Smart Switches verfolgt. Dabei handelt es sich um Switches der Einstiegsklasse, die als Grundbausteine für kleine und mittlere Unternehmensnetzwerke dienen. Sie sind verantwortlich für die gemeinsame Nutzung von Netzwerkressourcen und die Verbindung verschiedener Clients, einschließlich Computern, Druckern und Servern, mit dem Netzwerk und untereinander, sowie für die Sicherheit, die Steuerung der Netzwerkleistung und mehr.

Der Fehler wird mit 7,5 auf der 10-stufigen CVSS-Schwierigkeitsskala bewertet und entsteht durch ein schwaches Sitzungsmanagement für die webbasierte Verwaltungsoberfläche der Switches. Ein nicht authentifizierter, entfernter Angreifer könnte ihn nutzen, um den Authentifizierungsschutz zu umgehen und unberechtigten Zugriff auf die Schnittstelle zu erlangen, so der Hinweis. Der Angreifer könnte dann die Privilegien des gekaperten Sitzungs-Accounts erlangen, zu denen auch administrative Rechte gehören könnten, und so freie Hand auf dem Switch bekommen.

“Diese Schwachstelle ist auf die Verwendung einer schwachen Sitzungsverwaltung für Sitzungsbezeichnerwerte zurückzuführen”, so Cisco. “Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er Erkundungsmethoden verwendet, um herauszufinden, wie er einen gültigen Sitzungsbezeichner erstellen kann. Ein erfolgreicher Exploit könnte dem Angreifer erlauben [to] Aktionen innerhalb der Verwaltungsoberfläche mit Rechten bis zur Ebene des administrativen Benutzers durchführen.”

Mehrere Patches für Smart Switches

Es gibt auch mehrere andere Sicherheitslücken in der gleichen Web-Management-Schnittstelle. Zum Beispiel ist der Fehler, der als CVE-2021-1541 verfolgt wird, eine Schwachstelle für die Ausführung von beliebigem Code, die es einem authentifizierten, entfernten Angreifer ermöglichen würde, beliebige Befehle als Root-Benutzer auf dem zugrunde liegenden Betriebssystem auszuführen.

“Diese Sicherheitslücke ist auf eine fehlende Parametervalidierung für TFTP-Konfigurationsparameter zurückzuführen”, so Cisco. “Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er manipulierte Eingaben für bestimmte TFTP-Konfigurationsparameter eingibt. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, beliebige Befehle als Root-Benutzer auf dem zugrunde liegenden Betriebssystem auszuführen.”

Der Angreifer muss über gültige administrative Anmeldeinformationen auf dem Gerät verfügen, um die Schwachstelle ausnutzen zu können, so dass der CVSS-Score eher bei 7,2 als bei kritisch liegt.

Die Schwachstelle, die als CVE-2021-1543 verfolgt wird, ermöglicht Cross-Site-Scripting von einem nicht authentifizierten, entfernten Angreifer (CVSS-Score: 6.1).

“Diese Schwachstelle ist auf eine unzureichende Validierung der vom Benutzer bereitgestellten Eingaben durch die webbasierte Verwaltungsoberfläche des betroffenen Geräts zurückzuführen”, so Cisco. “Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er einen Benutzer dazu bringt, auf einen bösartigen Link zu klicken und eine bestimmte Seite aufzurufen. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, beliebigen Skriptcode im Kontext der betroffenen Schnittstelle auszuführen oder auf sensible, browserbasierte Informationen zuzugreifen und den Benutzer auf eine beliebige Seite umzuleiten.”

Und schließlich könnte CVE-2021-1571 (Bewertung 6.1 auf der CVSS-Skala) einem nicht authentifizierten, entfernten Angreifer erlauben, einen HTML-Injection-Angriff durchzuführen.

“Diese Schwachstelle wird durch unsachgemäße Überprüfungen von Parameterwerten in betroffenen Seiten verursacht”, heißt es in dem Advisory. “Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er einen Benutzer dazu verleitet, einem manipulierten Link zu folgen, der HTML-Code in einen betroffenen Parameter einspeist. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, den Inhalt einer Webseite zu verändern und den Benutzer auf potenziell bösartige Websites umzuleiten.”

Andere hochsensible Sicherheitslücken von Cisco

Zu den anderen hochgradig schwerwiegenden Sicherheitslücken, die Cisco am Mittwoch behoben hat, gehört die Schwachstelle bei der Zertifikatsvalidierung (CVE-2021-1566) in der Cisco Email Security Appliance (ESA) und der Cisco Web Security Appliance (WSA). Sie besteht in der Art und Weise, wie die Cisco Advanced Malware Protection (AMP) for Endpoints das Cisco AsyncOS integriert. Wenn der Fehler ausgenutzt wird, könnte ein nicht authentifizierter, entfernter Angreifer den Verkehr zwischen einem betroffenen Gerät und den AMP-Servern abfangen. Die Schwachstelle wird mit 7,4 auf der 10-stufigen CVSS-Schweregradskala bewertet.

“Diese Schwachstelle ist auf eine unsachgemäße Zertifikatsvalidierung zurückzuführen, wenn ein betroffenes Gerät TLS-Verbindungen herstellt”, heißt es in dem Advisory. “Ein Man-in-the-Middle-Angreifer könnte diese Sicherheitslücke ausnutzen, indem er ein manipuliertes TLS-Paket an ein betroffenes Gerät sendet. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, einen vertrauenswürdigen Host zu fälschen und dann sensible Informationen zu extrahieren oder bestimmte API-Anfragen zu verändern.”

Der Fehler (CVE-2021-1134) im Cisco DNA Center, einem Netzwerk-Controller und Management-Dashboard, wird ebenfalls mit 7,4 bewertet. Er existiert in der Cisco Identity Services Engine (ISE)-Integrationsfunktion der Software und könnte es einem nicht authentifizierten, entfernten Angreifer ebenfalls ermöglichen, unautorisierten Zugriff auf sensible Daten zu erlangen.

“Die Schwachstelle ist auf eine unvollständige Validierung des X.509-Zertifikats zurückzuführen, das beim Aufbau einer Verbindung zwischen DNA Center und einem ISE-Server verwendet wird”, heißt es in dem Advisory. “Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er ein manipuliertes Zertifikat bereitstellt und dann die Kommunikation zwischen ISE und DNA Center abfängt. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, sensible Informationen, die die ISE über Clients, die mit dem Netzwerk verbunden sind, verwaltet, einzusehen und zu ändern.”

Und schließlich könnte eine Schwachstelle (CVE-2021-1567) im DLL-Lademechanismus von Cisco AnyConnect Secure Mobility Client for Windows es einem authentifizierten, lokalen Angreifer ermöglichen, einen DLL-Hijacking-Angriff durchzuführen.

Die Schwachstelle ist nur dann ausnutzbar, wenn das VPN Posture (HostScan) Modul auf dem AnyConnect Client installiert ist, das ein CVSS-Rating von 7.0 hat. VPN Posture hilft dabei, Informationen darüber zu sammeln, welches Betriebssystem, Antivirus-, Antispyware- und andere installierte Software auf entfernten Hosts vorhanden ist, und es führt eine Endpunktbewertung durch, während es eine Verbindung zum VPN erlaubt.

“Diese Schwachstelle ist auf eine Race Condition im Signaturprüfungsprozess für DLL-Dateien zurückzuführen, die auf einem betroffenen Gerät geladen werden”, so Cisco. “Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine Reihe von manipulierten IPC-Nachrichten (Interprocess Communication) an den AnyConnect-Prozess sendet. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, beliebigen Code auf dem betroffenen Gerät mit SYSTEM-Rechten auszuführen. Um diese Sicherheitslücke auszunutzen, muss der Angreifer über gültige Anmeldeinformationen auf dem Windows-System verfügen.”

Mittelschwere Cisco-Sicherheits-Patches

Der Netzwerkriese adressierte außerdem die folgenden Probleme mittlerer Schwere: CVE-2021-1524: Cisco Meeting Server API (Denial-of-Service-Schwachstelle) CVE-2021-1569 und CVE-2021-1570: Sicherheitslücken in der Cisco Jabber Desktop und Mobile Client Software CVE-2021-1395: Cisco Unified Intelligence Center (Reflected XSS) CVE-2021-1568: Cisco AnyConnect Secure Mobility Client für Windows (DoS) CVE-2021-1242: Cisco Jabber und Webex Client Software (Shared File Manipulation)

Informationen zu Patches und betroffenen Versionen sind in den einzelnen Advisories verfügbar.

Nehmen Sie an Threatposts “Tipps und Taktiken für eine bessere Bedrohungsjagd” teil – einer LIVE-Veranstaltung am Mittwoch, 30. Juni um 14:00 Uhr ET in Zusammenarbeit mit Palo Alto Networks. Erfahren Sie von den Experten der Unit 42 von Palo Alto, wie Sie Bedrohungen am besten aufspüren und wie Sie die Automatisierung zur Unterstützung nutzen können. Registrieren Sie sich HIER kostenlos!

Einige Teile dieses Artikels stammen aus:
threatpost.com