Kritische Schwachstellen
24.05.2023, 13:09 Uhr
BSI ruft zum Patch auf
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft wegen als kritisch eingestuften Schwachstellen in Produktfamilien von Switches von Cisco zum Patch auf und warnt vor einem erhöhten Bedrohungspotenzial.
Basierend auf einem von Cisco publizierten Advisory ruft das BSI zum Patch auf
(Quelle: Archiv NMGZ)
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Schwachstellen in verschiedenen Produktfamilien von Switches des Herstellers von Netzwerkprodukten Cisco und ruft zum Patch auf. Cisco selbst hat Mitte Mai diesbezüglich ein Advisory herausgegeben, zu dem sich das BSI jetzt äussert und eine Handlungsempfehlung abgibt.
Die gefundenen Schwachstellen betreffen gemäss BSI die webbasierte Benutzeroberfläche zur Verwaltung mehrerer Switches und wurden nach dem Common Vulnerability Scoring System (CVSS) v.3.1 als «kritisch» eingestuft. Es handelt sich dabei um die folgenden Schwachstellen.
CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 und CVE-2023-20189: Sie erlauben einem nicht authentifizierten entfernten Angreifer die Ausführung von beliebigem Programmcode mit Root-Rechten durch unzureichende Prüfung von Anfragen, die zu Speicherüberläufen (CWE-120) in Cisco Small Business Series Switches führen. Der Angreifer muss zur Ausnutzung der Schwachstellen eine präparierte Anfrage an die webbasierte Benutzeroberfläche schicken. Die genannten Sicherheitslücken werden von Cisco mit einem CVSS v.3.1 Score von 9,8 bewertet.
Zusätzlich existieren weitere Schwachstellen, die mit diesem Patch geschlossen werden, die laut BSI unter anderem Denial-of-Service-Angriffe ermöglichen.
Ganze Produktreihen betroffen
Gemäss einer Mitteilung des BSI sind die folgenden Produktreihen von den entdeckten kritischen Schwachstellen betroffen:
- 250 Series Smart Switches
- 350 Series Managed Switches
- 350X Series Stackable Managed Switches
- 550X Series Stackable Managed Switches
- Business 250 Series Smart Switches
- Business 350 Series Managed Switches
- Small Business 200 Series Smart Switches
- Small Business 300 Series Managed Switches
- Small Business 500 Series Stackable Managed Switches
Es wird darauf hingewiesen, dass die Reihen 220 Series Smart Switches und Business 220 Series Smart Switches nicht von der gefundenen Schwachstelle betroffen sind. Ausserdem ist für die Produktreihen Small Business 200 Series Smart Switches, Small Business 300 Series Managed Switches und Small Business 500 Series Stackable Managed Switches kein Update verfügbar, da der Support für diese Produktreihen abgelaufen ist.
Erhöhtes Bedrohungspotenzial
Das BSI sieht in der Kombination aus der weiten Verbreitung der Netzwerkprodukte von Cisco und der diversen als «kritisch» eingestuften Sicherheitslücken ein erhöhtes Bedrohungspotenzial für private und staatliche Organisationen. Durch die zentrale Bedeutung der betroffenen Komponenten für IT-Netzwerke können Verfügbarkeit, Vertraulichkeit und Integrität in Institutionen kompromittiert werden. Die als kritisch eingestuften Schwachstellen CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 und CVE-2023-20189 sollten so schnell wie möglich behoben werden. Eine kurzfristige Ausnutzung könne dennoch nicht ausgeschlossen werden, da Cisco davon berichtet, dass Proof-of-Concept-Exploit-Code verfügbar ist, so das BSI.
Patchen, und zwar bald
In seiner Handlungsempfehlung ruft das BSI Organisationen dazu auf, die von Cisco veröffentlichten Informationen zu sichten und die aufgeführten Komponenten mit der eigenen Inventarliste abzugleichen, um herauszufinden, in welchem Ausmass man betroffen ist. Die von Cisco bereitgestellten Patches sollten so schnell wie möglich installiert werden, um eine Ausnutzung der Schwachstellen zu verhindern. Da keine Workarounds für die veröffentlichten Schwachstellen zur Verfügung stehen, können die Lücken nämlich nur durch den Patch geschlossen werden. Diejenigen Produktreihen, die wegen des abgelaufenen Supports keine Updates mehr erhalten, sollten gar nicht mehr eingesetzt werden.
Falls Sie mehr Informationen möchten, dann können Sie das Advisory von Cisco hier lesen.