Cisco BPA, WSA Bugs ermöglichen Remote Cyberattacken

  • Die hochgradig gefährlichen Sicherheitslücken ermöglichen eine Erhöhung der Privilegien, was unter anderem zu Datendiebstahl führen kann.

    Eine Reihe von Schwachstellen mit hohem Schweregrad, die eine Erhöhung der Privilegien ermöglichen, betreffen die Business Process Automation (BPA)-Anwendung und die Web Security Appliance (WSA) von Cisco und könnten authentifizierten, entfernten Angreifern den Zugriff auf vertrauliche Daten oder die Übernahme eines Zielsystems ermöglichen.

    Die ersten beiden Bugs (CVE-2021-1574 und CVE-2021-1576) existieren in der webbasierten Verwaltungsoberfläche der Cisco Business Process Automation (BPA), die zur Rationalisierung verschiedener IT-Prozesse eingesetzt wird. Zu den Funktionen gehören Betriebssystem-Upgrades, Geräteaktivierung, Compliance-Checks und Server-Migration.

    Die Schwachstellen, die beide mit 8,8 von 10 auf der CVSS-Schwachstellen-Skala bewertet werden, könnten es einem authentifizierten, entfernten Angreifer ermöglichen, die Rechte auf Administrator-Ebene zu erhöhen. Eine erfolgreiche Ausnutzung würde das Senden von manipulierten HTTP-Nachrichten an ein betroffenes System beinhalten.

    “Diese Schwachstellen sind auf eine unsachgemäße Durchsetzung von Berechtigungen für bestimmte Funktionen und für den Zugriff auf Protokolldateien zurückzuführen, die vertrauliche Informationen enthalten”, heißt es in der Mitteilung von Cisco vom Donnerstag. Die Ausnutzung könnte dazu führen, dass ein Angreifer “unautorisierte Aktionen mit den Rechten eines Administrators durchführt oder sensible Daten aus den Protokollen abruft und sich damit als legitimer privilegierter Benutzer ausgibt”, so das Unternehmen.

    • Bei CVE-2021-1574 könnte ein Angreifer mit gültigen Benutzeranmeldeinformationen nicht autorisierte Befehle ausführen;
    • Für CVE-2021-1576 könnte ein Angreifer mit gültigen Anmeldeinformationen auf das Logging-Subsystem eines betroffenen Systems zugreifen und sensible Daten abrufen. Das System ist nur angreifbar, solange ein legitimer Benutzer eine aktive Sitzung auf dem System aufrechterhält, so Cisco.

    Die Sicherheitslücken betreffen Cisco BPA-Releases vor Release 3.1.

    Der dritte Fehler betrifft die WSA-Appliance von Cisco, die Schutz für diejenigen bietet, die über ein Unternehmensnetzwerk auf das Web zugreifen, indem sie riskante Seiten automatisch blockiert und unbekannte Seiten testet, bevor sie den Benutzern erlaubt, sie anzuklicken.

    Das Problem (CVE-2021-1359, mit einem CVSS-Score von 6,3 von 10) besteht in der Konfigurationsverwaltung des Cisco AsyncOS-Betriebssystems, das die WSA betreibt. Laut dem Cisco-Advisory könnte ein authentifizierter, entfernter Angreifer damit eine Befehlsinjektion durchführen und die Rechte auf Root erhöhen.

    “Diese Schwachstelle ist auf eine unzureichende Validierung der vom Benutzer bereitgestellten XML-Eingaben für das Web-Interface zurückzuführen”, erklärt der Netzwerkriese. “Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er manipulierte XML-Konfigurationsdateien, die Scripting-Code enthalten, auf ein verwundbares Gerät hochlädt. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, beliebige Befehle auf dem zugrundeliegenden Betriebssystem auszuführen und die Rechte auf root zu erhöhen.”

    Der Fehler wird als hochgradig gefährlich und nicht als kritisch eingestuft, da ein Angreifer ein gültiges Benutzerkonto mit den Rechten zum Hochladen von Konfigurationsdateien benötigen würde, um den Fehler auszunutzen – etwas, das über einen anderen Exploit oder einen Phishing-Angriff erreicht werden könnte.

    Das Problem betrifft sowohl die virtuellen als auch die hardwarebasierten Iterationen der Appliances, in den Versionen 11.8 und früher, 12.0 und 12.5.

    Dies sind nur die jüngsten Patches, die Cisco herausgegeben hat. Letzten Monat wurden mehrere hochgradige Sicherheitslücken in den Small Business 220 Series Smart Switches gepatcht, bei denen es sich um Netzwerkgeräte der Einstiegsklasse für KMUs handelt. Die Schwachstellen könnten Remote-Angriffe ermöglichen, die darauf abzielen, Informationen zu stehlen, Malware einzuschleusen und den Betrieb zu stören, und zwar durch Session-Hijacking, beliebige Codeausführung, Cross-Site-Scripting (XSS) und HTML-Injection.

    Informieren Sie sich über unsere kommenden kostenlosen Live- und On-Demand-Webinar-Veranstaltungen – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com