24.05.2023
Kritische Schwachstellen
BSI ruft zum Patch von Cisco-Switches auf
Autor:
Archiv NMGZ
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft wegen als kritisch eingestufter Schwachstellen in Produktfamilien von Cisco-Switches zum Patch auf und warnt vor einem erhöhten Bedrohungspotenzial.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Schwachstellen in verschiedenen Produktfamilien von Switches des Herstellers Cisco und ruft zum Patch auf. Cisco selbst hat Mitte Mai ein entsprechendes Advisory herausgegeben, zu dem sich das BSI jetzt äußert und eine Handlungsempfehlung abgibt.
Die gefundenen Schwachstellen betreffen laut BSI die web-basierte Benutzeroberfläche zur Verwaltung mehrerer Switches und wurden nach dem Common Vulnerability Scoring System (CVSS) v.3.1 als "kritisch" eingestuft. Es handelt sich dabei um die folgenden Schwachstellen:
CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 und CVE-2023-20189; sie erlauben einem nicht authentifizierten entfernten Angreifer die Ausführung von beliebigem Programmcode mit root-Rechten durch unzureichende Prüfung von Anfragen, die zu Speicherüberläufen (CWE-120) in Cisco Small Business Series Switches führen. Der Angreifer muss zur Ausnutzung der Schwachstellen eine präparierte Anfrage an die web-basierte Benutzeroberfläche schicken. Die genannten Sicherheitslücken werden von Cisco mit einem CVSS v.3.1 Score von 9,8 bewertet.
Zusätzlich existieren weitere Schwachstellen, die mit diesem Patch geschlossen werden, die laut BSI unter anderem Denial-of-Service Angriffe ermöglichen.
Ganze Produktreihen betroffen
Gemäß einer Mitteilung des BSI sind die folgenden Produktreihen von den entdeckten kritischen Schwachstellen betroffen:
- 250 Series Smart Switches
- 350 Series Managed Switches
- 350X Series Stackable Managed Switches
- 550X Series Stackable Managed Switches
- Business 250 Series Smart Switches
- Business 350 Series Managed Switches
- Small Business 200 Series Smart Switches
- Small Business 300 Series Managed Switches
- Small Business 500 Series Stackable Managed Switches
Es wird darauf hingewiesen, dass die Reihen 220 Series Smart Switches und Business 220 Series Smart Switches nicht von der gefundenen Schwachstelle betroffen sind. Außerdem ist für die Produktreihen Small Business 200 Series Smart Switches, Small Business 300 Series Managed Switches und Small Business 500 Series Stackable Managed Switches kein Update verfügbar, da der Support für diese Produktreihen abgelaufen ist.
Erhöhtes Bedrohungspotenzial
Das BSI sieht in der Kombination aus der weiten Verbreitung der Netzwerkprodukte von Cisco und der diversen als kritisch eingestuften Sicherheitslücken ein erhöhtes Bedrohungspotential für private und staatliche Organisationen. Durch die zentrale Bedeutung der betroffenen Komponenten für IT-Netzwerke können Verfügbarkeit, Vertraulichkeit und Integrität in Institutionen kompromittiert werden. Die als kritisch eingestuften Schwachstellen CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 und CVE-2023-20189 sollten so schnell wie möglich behoben werden. Eine kurzfristige Ausnutzung könne dennoch nicht ausgeschlossen werden, da Cisco davon berichtet, dass Proof-of-Concept Exploit-Code verfügbar ist, so das BSI.
Patchen, und zwar bald
In seiner Handlungsempfehlung ruft das BSI Organisationen dazu auf, die von Cisco veröffentlichten Informationen zu sichten und die aufgeführten Komponenten mit der eigenen Inventarliste abzugleichen, um herauszufinden, in welchem Ausmaß man betroffen ist. Die von Cisco bereitgestellten Patches sollten so schnell wie möglich installiert werden, um eine Ausnutzung der Schwachstellen zu verhindern. Da keine Workarounds für die veröffentlichten Schwachstellen zur Verfügung stehen, können die Lücken nämlich nur durch den Patch geschlossen werden. Diejenigen Produktreihen, die wegen des abgelaufenen Supports keine Updates mehr erhalten, sollten gar nicht mehr eingesetzt werden.
Falls Sie mehr Informationen möchten, dann können Sie das Advisory von Cisco hier lesen.
Ohne Nokia
HMD zeigt erste Smartphones mit der eigenen Marke
Mit den drei neuen Pulse-Modellen bringt HMD seine ersten Smartphones auf den Markt, die nicht mehr unter der Lizenz von Nokia vermarktet werden.
>>
Salzbatterie
Neuer Super-Akku lädt in wenigen Sekunden
Eine neue Batterie des Korea Advanced Institute of Science and Technology (KAIST) lädt binnen Sekunden. Als Basismaterial kommt das auf der Erde in großen Mengen vorkommende Natrium zum Einsatz.
>>
Huawei Roadshow 2024
Technologie auf Rädern - der Show-Truck von Huawei ist unterwegs
Die Huawei Europe Enterprise Roadshow läuft dieses Jahr unter dem Thema "Digital & Green: Accelerate Industrial Intelligence". Im Show-Truck zeigt das Unternehmen neueste Produkte und Lösungen. Ziel ist es, Kunden und Partner zusammenzubringen.
>>
"Lass dich frei."
Apple mit Pencil- und iPad-Event im Mai
Unter dem Claim "Lass dich frei." oder "Let loose." hat Apple sein nächstes Event angekündigt. Konkret werden am 7. Mai um 16.00 Uhr neue Geräte vorgestellt.
>>