Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft wegen als kritisch eingestufter Schwachstellen in Produktfamilien von Cisco-Switches zum Patch auf und warnt vor einem erhöhten Bedrohungspotenzial. [...]
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Schwachstellen in verschiedenen Produktfamilien von Switches des Herstellers Cisco und ruft zum Patch auf. Cisco selbst hat Mitte Mai ein entsprechendes Advisory herausgegeben, zu dem sich das BSI jetzt äußert und eine Handlungsempfehlung abgibt.
Die gefundenen Schwachstellen betreffen laut BSI die web-basierte Benutzeroberfläche zur Verwaltung mehrerer Switches und wurden nach dem Common Vulnerability Scoring System (CVSS) v.3.1 als „kritisch“ eingestuft. Es handelt sich dabei um die folgenden Schwachstellen:
CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 und CVE-2023-20189; sie erlauben einem nicht authentifizierten entfernten Angreifer die Ausführung von beliebigem Programmcode mit root-Rechten durch unzureichende Prüfung von Anfragen, die zu Speicherüberläufen (CWE-120) in Cisco Small Business Series Switches führen. Der Angreifer muss zur Ausnutzung der Schwachstellen eine präparierte Anfrage an die web-basierte Benutzeroberfläche schicken. Die genannten Sicherheitslücken werden von Cisco mit einem CVSS v.3.1 Score von 9,8 bewertet.
Zusätzlich existieren weitere Schwachstellen, die mit diesem Patch geschlossen werden, die laut BSI unter anderem Denial-of-Service Angriffe ermöglichen.
Ganze Produktreihen betroffen
Gemäß einer Mitteilung des BSI sind die folgenden Produktreihen von den entdeckten kritischen Schwachstellen betroffen:
- 250 Series Smart Switches
- 350 Series Managed Switches
- 350X Series Stackable Managed Switches
- 550X Series Stackable Managed Switches
- Business 250 Series Smart Switches
- Business 350 Series Managed Switches
- Small Business 200 Series Smart Switches
- Small Business 300 Series Managed Switches
- Small Business 500 Series Stackable Managed Switches
Es wird darauf hingewiesen, dass die Reihen 220 Series Smart Switches und Business 220 Series Smart Switches nicht von der gefundenen Schwachstelle betroffen sind. Außerdem ist für die Produktreihen Small Business 200 Series Smart Switches, Small Business 300 Series Managed Switches und Small Business 500 Series Stackable Managed Switches kein Update verfügbar, da der Support für diese Produktreihen abgelaufen ist.
Erhöhtes Bedrohungspotenzial
Das BSI sieht in der Kombination aus der weiten Verbreitung der Netzwerkprodukte von Cisco und der diversen als kritisch eingestuften Sicherheitslücken ein erhöhtes Bedrohungspotential für private und staatliche Organisationen.
Durch die zentrale Bedeutung der betroffenen Komponenten für IT-Netzwerke können Verfügbarkeit, Vertraulichkeit und Integrität in Institutionen kompromittiert werden. Die als kritisch eingestuften Schwachstellen CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 und CVE-2023-20189 sollten so schnell wie möglich behoben werden.
Eine kurzfristige Ausnutzung könne dennoch nicht ausgeschlossen werden, da Cisco davon berichtet, dass Proof-of-Concept Exploit-Code verfügbar ist, so das BSI.
Patchen, und zwar bald
In seiner Handlungsempfehlung ruft das BSI Organisationen dazu auf, die von Cisco veröffentlichten Informationen zu sichten und die aufgeführten Komponenten mit der eigenen Inventarliste abzugleichen, um herauszufinden, in welchem Ausmaß man betroffen ist.
Die von Cisco bereitgestellten Patches sollten so schnell wie möglich installiert werden, um eine Ausnutzung der Schwachstellen zu verhindern. Da keine Workarounds für die veröffentlichten Schwachstellen zur Verfügung stehen, können die Lücken nämlich nur durch den Patch geschlossen werden.
Diejenigen Produktreihen, die wegen des abgelaufenen Supports keine Updates mehr erhalten, sollten gar nicht mehr eingesetzt werden.
Falls Sie mehr Informationen möchten, dann können Sie das Advisory von Cisco hier lesen.
Be the first to comment