Thought Leadership
Eine kritische Schwachstelle mit dem Höchstwert 10.0 hebelt den Mandantenschutz in Cisco Secure Workload aus. Admins müssen die REST-APIs umgehend patchen.
Der weltweit agierende Netzwerkausrüster Cisco hat eine kritische Sicherheitslücke in seiner Plattform Cisco Secure Workload geschlossen. Die Schwachstelle weist den höchstmöglichen Schweregrad auf der international standardisierten Bewertungsskala für Softwareschwachstellen auf. Eine erfolgreiche Ausnutzung der Sicherheitslücke erlaubt es entfernten Angreifern, administrative Zugriffsrechte auf der Ebene eines Site-Administrators zu erlangen.
Damit erhalten unbefugte Akteure einen weitreichenden Zugriff auf die geschützten Ressourcen, Datenströme und Systemkonfigurationen innerhalb der betroffenen Netzwerkinfrastrukturen von Unternehmen. Da die Softwareplattform primär zur Absicherung von hybriden Cloud-Umgebungen und modernen Rechenzentren über Zero-Trust-Modelle eingesetzt wird, gefährdet das bestehende Sicherheitsrisiko die Kernarchitektur der internen Unternehmenssicherheit von Kunden auf globaler Ebene.
Technische Ursache in REST-APIs
Die Sicherheitslücke wird unter der offiziellen Registrierungsnummer CVE-2026-20223 geführt und hat nach dem Common Vulnerability Scoring System den maximalen Risikowert von 10.0 erhalten. Die Ursache für dieses außerordentlich hohe Bedrohungspotenzial liegt in einer unzureichenden Validierung von Datenpaketen sowie in fehlerhaften Authentifizierungsmechanismen innerhalb der internen REST-API-Endpunkte der Software. Diese Programmierschnittstellen sind im regulären Betrieb dafür zuständig, die automatisierte Kommunikation und den Datenaustausch zwischen verschiedenen Softwarekomponenten und Mikrodiensten im Hintergrund des Systems abzuwickeln.
Laut den technischen Spezifikationen in den offiziellen Sicherheitsmitteilungen von Cisco können IT-Angreifer diese Schwachstelle gezielt ausnutzen, wenn sie in der Lage sind, eine speziell manipulierte API-Anfrage an einen der betroffenen Endpunkte zu senden. Die Software verarbeitet diese präparierte Anfrage aufgrund der fehlenden internen Validierung fälschlicherweise als autorisiert und gewährt dem Absender augenblicklich die Berechtigungen eines Site-Administrators. Cisco betont in seiner Schadensanalyse, dass dieser Programmierfehler ausschließlich die internen REST-APIs betrifft. Die über einen gewöhnlichen Webbrowser aufrufbare grafische Benutzeroberfläche für das Management der Plattform ist von dieser spezifischen Sicherheitslücke hingegen nicht betroffen.
Gefahren durch herstellerübergreifende Rechteausweitung
Das Ausmaß einer erfolgreichen Kompromittierung des Systems ist als schwerwiegend einzustufen. Da die Angreifer über die manipulierten API-Anfragen die uneingeschränkten Privilegien eines Site-Administrators erhalten, sind sie in der Lage, sensible Systeminformationen im Klartext auszulesen und vertrauliche Daten abzugreifen. Darüber hinaus erlaubt der unbefugte administrative Zugriff die weitreichende Modifikation von globalen Systemkonfigurationen und Sicherheitsrichtlinien. Besonders kritisch ist hierbei der Umstand, dass diese Änderungen über bestehende Mandantengrenzen hinweg durchgeführt werden können.
In mandantenfähigen Enterprise-Umgebungen, in denen verschiedene Abteilungen, Geschäftsbereiche oder unterschiedliche Kunden physisch oder logisch voneinander isoliert auf derselben physischen Hardwareplattform arbeiten, wird diese strikte Isolation durch die Schwachstelle vollständig aufgehoben. Ein Angreifer kann somit Daten von Mandanten einsehen und manipulieren, für die er ursprünglich keinerlei Zugriffsberechtigungen besaß. Die Sicherheitslücke betrifft die Cisco Secure Workload Cluster Software sowohl bei der Bereitstellung als Software-as-a-Service in der Cloud als auch bei lokalen On-Premises-Installationen in den eigenen Rechenzentren der Anwender. Das Risiko besteht laut Herstellerangaben unabhängig von der individuellen Gerätekonfiguration des jeweiligen Systems.
Update behebt Cisco-Schwachstelle
Cisco hat zur Behebung des schwerwiegenden Programmierfehlers offizielle Software-Updates für die betroffenen Produktlinien bereitgestellt. Die Schwachstelle wird in den neu veröffentlichten Versionen 3.10.8.3 und 4.0.3.17 von Cisco Secure Workload vollständig korrigiert. Das Technologieunternehmen gab am Mittwoch bekannt, dass ihm zum Zeitpunkt der Veröffentlichung der Patches keine Berichte oder Indikatoren über eine aktive Ausnutzung der Sicherheitslücke in der Praxis vorlagen. Da die Funktionsweise der Lücke und der betroffene Vektor durch die Veröffentlichung des Sicherheitsbeirats nun jedoch öffentlich bekannt sind, wird IT-Verantwortlichen in Unternehmen dringend empfohlen, die entsprechenden Updates zeitnah auf ihren Systemen und Appliances einzuspielen, um potenzielle Angriffe im Vorfeld effektiv zu verhindern.
Weitere Sicherheitskorrekturen für ThousandEyes und Nexus-Switches
Parallel zu der kritischen Sicherheitslücke in Secure Workload hat der Technologiekonzern am selben Tag Korrekturen für drei weitere Schwachstellen mit mittlerem Schweregrad veröffentlicht. Diese betreffen andere zentrale Komponenten des professionellen Enterprise-Portfolios und zeigen die Notwendigkeit einer umfassenden Systempflege. Die Schwachstellen betreffen die ThousandEyes Virtual Appliance, den ThousandEyes Enterprise Agent sowie die Netzwerk-Switches der Nexus-3000-Serie und der Nexus-9000-Serie.
Die Fehler in den ThousandEyes-Komponenten ermöglichen es Angreifern unter bestimmten Bedingungen, Befehle aus der Ferne mit den höchsten administrativen Root-Rechten oder als privilegierter Node-Benutzer auszuführen. Dies kann zu einer vollständigen Übernahme der Überwachungs- und Netzwerkanalyse-Systeme eines Unternehmens führen. Der Fehler in den Betriebssystemen der Nexus-Switches ermöglicht es Angreifern hingegen, sogenannte BGP-Peer-Flaps auszulösen. Das Border Gateway Protocol ist das fundamentale Routing-Protokoll für den Datenaustausch im Internet und in großen autonomen Unternehmensnetzwerken.
Ein wiederholtes Abreißen und Neuaufbauen dieser Routing-Verbindungen führt zu einer massiven Überlastung der Netzwerkgeräte. In der Folge bricht der reguläre Datenverkehr in den betroffenen Segmenten vollständig zusammen, was einen Denial-of-Service-Zustand verursacht, bei dem die Netzwerkinfrastruktur für legitime Nutzer nicht mehr erreichbar ist. Auch für diese drei Sicherheitslücken liegen laut Cisco bisher keine Erkenntnisse über reale Angriffe in der Wildbahn vor. Die technischen Details und Indikatoren für eine Überprüfung der Systeme sind auf den offiziellen Support-Seiten des Herstellers einsehbar.
