Anzeige

Sicherheitsschwachstelle

Der Hersteller Cisco veröffentlichte  Informationen zu einer Schwachstelle in der Cisco Enterprise NFV Infrastructure Software (NFVIS), welche es entfernten, nicht authentifizierten Angreifern ermöglicht, administrativen Zugriff auf einem betroffenen Gerät zu erhalten.

Mithilfe einer Sicherheitslücke in der TACACS Authentifizierungs-, Autorisierungs- und Abrechnungsfunktion (AAA) der NFVIS könnte ein Angreifer demnach aus der Ferne die Authentifizierung umgehen und sich als Administrator bei einem betroffenen Gerät anmelden. Diese Sicherheitsanfälligkeit ist auf eine unvollständige Validierung von Benutzereingaben zurückzuführen, die an ein Authentifizierungsskript übergeben werden. Angreifende können diesen Sachverhalt ausnutzen, indem Parameter in eine Authentifizierungsanforderung eingefügt werden. Mit einem CVSS-Score von 9.8 gilt diese Schwachstelle (CVE-2021-34746) als "kritisch". Betroffen sind nach Angaben des Herstellers Cisco Enterprise NFVIS mit der Version 4.5.1, wenn TACACS als externe Authentifizierungsmethode aktiviert wurde.


Bewertung

Aufgrund des hohen Marktanteils von Cisco im Netzwerk-Bereich im Allgemeinen muss davon ausgegangen werden, dass auch das hier betroffene Produkt in zahlreichen Organisationen in Deutschland zum Einsatz kommt. Dem BSI liegen aktuell noch keine Informationen einer aktiven Ausnutzung der Schwachstelle vor. Aufgrund des vor Kurzem veröffentlichten PoC und der Kritikalität sowie der Gegebenheit der Schwachstelle, ist die kurzfristige Erstellung von schadhaften Anwendungen basierend auf dem öffentlichen PoC nicht auszuschließen.


Maßnahmen

Cisco hat Software-Updates veröffentlicht, die diese Sicherheitsanfälligkeit beheben. Zielführende Mitigationsmaßnahmen sind zum aktuellen Zeitpunkt nicht bekannt, weshalb das Einspielen des bereitgestellten Patches priorisiert werden sollte. Empfehlungen zum Ausrollen von Sicherheitsupdates im Allgemeinen können dem BSI IT-Grundschutz entnommen werden.

www.bsi.bund.de


Weitere Artikel

Activision Blizzard

Microsoft übernimmt Gamesfirma Activision Blizzard

Microsoft übernimmt in einem fast 70 Milliarden Dollar schweren Deal den großen Videospieleanbieter Activision Blizzard. Der Software-Riese, der hinter der Xbox-Spielekonsole steht, sichert sich damit populäre Spiele wie «Call of Duty», «Overwatch» und «Candy…
Ericsson

Patentklagen: Ericsson geht gegen Apple vor

Nach dem Auslaufen eines Patentdeals zwischen Ericsson und Apple zieht der schwedische Netzwerk-Ausrüster vor Gericht. In Klagen in Texas wirft Ericsson dem iPhone-Konzern die Verletzung von insgesamt zwölf Patenten vor.
Euro

IT-Ausgaben werden 2022 um 5,1 % steigen

Laut dem Research- und Beratungsunternehmen Gartner werden sich die weltweiten IT-Ausgaben im Jahr 2022 auf 4,5 Billionen US-Dollar erhöhen, was einem Anstieg von 5,1 % gegenüber 2021 entspricht.
Chrome

Chrome nagelt User auf Suchmaschine fest

Nutzer des aktuellen Google-Webbrowsers Chrome (Version 97) können in den Einstellungen ab sofort nicht mehr die per Default gesetzten Suchmaschinen aus der Liste entfernen. Gleiches trifft auch auf das freie Chromium-Projekt zu, wie Reddit-User berichten.
Corona Warn App

Ob 2G oder 3G plus: Neue Version der Corona-Warn-App zeigt Status an

Die offizielle Corona-Warn-App des Bundes ist in einer neuen Version in der Lage, gültige Impf- oder Genesenenzertifikate sowie einen digitalen Testnachweis in einen Gesamtstatus zusammenzufassen. Das teilten die Betreiber der App, die SAP und Deutsche…
Social Media Commerce

Nebenbei einkaufen: Social Commerce wird zum Billiardengeschäft

Das Einkaufen auf Social-Media-Plattformen wie Instagram und TikTok wird bis 2025 weltweit 1,2 Bio. Dollar (2021: 492 Mrd. Dollar) erreichen, wie der Bericht "Why Shopping's set for a social Revolution" der Unternehmensberatung Accenture prognostiziert. Dies…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.