Leeres Admin-Passwort: Cisco korrigiert Fehler in Telepräsenz-Software

Das Unternehmen Cisco hat mehrere Sicherheitslücken in seinen Produkten geschlossen, inklusive einer kritischen Sicherheitslücke in Wide Area Application Services Mobile, die entfernte Codeausführung ermöglicht und Cyberkriminellen die Kontrolle über ein angreifbares Gerät verschaffen kann.

Cisco hat zudem einen Fehler in seinem Videokonferenz-System für medizinische Einrichtungen, TelePresence VX Clinical Assistant, ausgemerzt. Diese Korrektur schließt eine Lücke, die es Cyberkriminellen ermöglicht hat, sich mit Hilfe eines leeren Passworts als Administrator einzuloggen.

„Die Sicherheitslücke im Modul WIL-A Cisco TelePresence VX Clinical Assistant hat es Cyberkriminellen ermöglicht, sich unter Verwendung eines leeren Passworts einzuloggen.“, heißt es in einer Stellungnahme von Cisco. „Die Schwachstelle besteht in einem Programmfehler, aufgrund dessen das Administratorenpasswort bei jedem Neustart zurückgesetzt wird. Cyberkriminelle konnten diese Schwachstelle ausnutzen, indem sie sich im Steuerungsinterface als Administrator mit leerem Passwort einloggen.“

Die Sicherheitslücke in WAAS Mobile besteht in allen Versionen dieser Software niedriger als 3.5.5, und das Unternehmen hat eine neue Version veröffentlicht, in der dieser Fehler beseitigt wurde.

„Die Sicherheitslücke besteht in unzureichender Validierung der Daten, die vom Anwender im Körper einer HTTP POST-Anfrage übermittelt werden. Ein Cyberkrimineller kann diese Sicherheitslücke durch die Erstellung einer HTTP POST-Anfrage auf Content-Upload ausnutzten, was zu einem unkontrollierten Directory Traversal führt. Ein Exploit kann es einem Online-Gangster ermöglichen, willkürlichen Code auf dem WAAS Mobile-Server mit den Rechten eines Webservers IIS auszuführen.“, heißt es in dem Statement von Cisco. „Die angreifbare Komponente gehört zum Web-Management-Interface; doch in einer Konfiguration, in der mehr als ein Cisco WAAS Mobile-Server verwendet wird, sind auch alle Server angreifbar, nicht nur der, der die Rolle des Managers spielt und das Web-Management-Interface zur Verfügung stellt.“

Cisco weist darauf hin, dass das Problem ausschließlich in der Server-Software besteht und keine Clientanwendungen betrifft.

Das Unternehmen hat zudem eine Korrektur für eine Sicherheitslücke in der SIP-Komponente im Betriebssystem Cisco IOS veröffentlicht, die auf vielen Servern und anderen Geräten läuft. Dieser Fehler hätte es Cyberkriminellen ermöglichen können, auf einem angreifbaren Gerät DDoS-Bedingungen hervorzurufen.

„Die Sicherheitslücke besteht in der inkorrekten Verarbeitung speziell konstruierter SIP-Mitteilungen. Ein Cyberkrimineller kann diese Schwachstelle ausnutzen, indem er eine spezifische SIP-Mitteilung an das SIP-Gateway schickt. Durch Ausnutzung dieses Fehlers könnten Verbrecher ein Speicherleck oder einen Neustart des Geräts verursachen.“, heißt es in der Stellungnahme.

Quellethreatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.