Cisco schließt Sicherheitslücken und gibt Tipps zur VPN-Absicherung
Angreifer können unter anderem WLAN Controller von Cisco attackieren. Tipps gegen Password-Spraying-Attacken sollen VPN-Verbindungen schützen.
(Bild: heise online)
Der Netzwerkausrüster Cisco hat in mehreren Produkten gefährliche Sicherheitslücken geschlossen. In den meisten Fällen können Angreifer Geräte wie Access Points via DoS-Attacke lahmlegen. Sicherheitspatches stehen zum Download bereit.
DoS-Attacken
Der Großteil der geschlossenen Schwachstellen ist mit dem Bedrohungsgrad "hoch" eingestuft. Entfernte Angreifer können ohne Authentifizierung beispielsweise an einer Lücke (CVE-2024-20311) in den Netzwerkbetriebssystemen IOS und IOS XE ansetzen und Geräte lahmlegen. Dafür müssen sie Cisco zufolge lediglich präparierte LISP-Pakete an verwundbare Produkte schicken. Das soll zu einem Neustart führen.
Das Verschicken von manipulierten IPv4-Pakten (CVE-2024-20314) kann zur Überlastung der CPU führen, sodass kein Datenverkehr mit verarbeitet wird. Bei Access Points kann eine Attacke zu Reloads führen (CVE-2024-20271). Das kann auch bei Switches der Catalyst 6000 Series der Fall sein (CVE-2024-20276).
Root-Angriff
Weil IOS XE Nutzereingaben nicht ausreichend überprüft (CVE-2024-20278 "mittel"), können bereits angemeldete Angreifer spezielle Eingaben über Netconf verschicken und sich so zum Root-Nutzer hochstufen. Überdies ist es vorstellbar, dass Angreifer Cisco Secure Boot auf Access Points umgehen und so mit Schadcode verseuchte Software ausführen (CVE-2024-20265 "hoch").
Admins sollten sich die sie betreffenden, unterhalb dieser Meldung verlinkten Warnmeldungen anschauen und die darin aufgelisteten abgesicherten Versionen installieren.
VPN härten
Bei Password-Spray-Attacken spekulieren Angreifer darauf, dass Nutzer bei verschiedenen Onlinediensten identische Passwörter einsetzen. Ist so ein Kennwort aus einem Leak bekannt, versuchen sich Angreifer automatisiert bei weiteren Diensten anzumelden. Das kann auch bei VPN-Verbindungen der Fall sein.
Um das vorzubeugen, hat Cisco ein Dokument mit Tipps gegen Password-Spray-Attacken in diesem Kontext veröffentlicht. Damit solche Attacken von vornherein ins Leere laufen, sollte tunlichst bei jedem Dienst ein anderes Passwort genutzt werden.
Liste nach Bedrohungsgrad absteigend sortiert:
- IOS and IOS XE Software Locator ID Separation Protocol Denial of Service
- IOS XE Software SD-Access Fabric Edge Node Denial of Service
- IOS and IOS XE Software Internet Key Exchange Version 1 Fragmentation Denial of Service
- Access Point Software Denial of Service
- IOS XE Software DHCP Snooping with Endpoint Analytics Denial of Service
- IOS XE Software for Wireless LAN Controllers Multicast DNS Denial of Service
- IOS and IOS XE Software Intermediate System-to-Intermediate System Denial of Service
- IOS XE Software OSPFv2 Denial of Service
- IOS Software for Catalyst 6000 Series Switches Denial of Service
- IOS XE Software Privilege Escalation
- IOS XE Software Unified Threat Defense Command Injection
- Access Point Software Secure Boot Bypass
- IOS XE Software Auxiliary Asynchronous Port Denial of Service
- IOS XE Software for Wireless LAN Controllers Privilege
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dmi-acl-bypass-Xv8FO8Vz
- Aironet Access Point Software Resource Exhaustion Denial of Service
- Catalyst Center Authorization Bypass
(des)
