Cisco meldet kritische Schwachstellen in der Cisco Smart Licensing Utility die einen CVSS Score 9.8 von 10 erreichen. Diese Schwachstellen ermöglichen es einem unauthentifizierten, entfernten Angreifer, sensible Informationen zu sammeln oder administrative Rechte über die Software zu erlangen. Updates stehen bereit.
Am 4. September 2024 veröffentlichte Cisco zwei Schwachstellen die ein ernstes Sicherheitsrisiko darstellen. Das Smart Licensing Utility erlaubt es Angreifern ohne Authentifizierung entweder administrative Kontrolle zu erlangen oder sensible Informationen aus den Protokollen abzufangen. Da es keine Workarounds gibt, sollten Kunden dringend die von Cisco veröffentlichten Software-Updates installieren, um ihre Systeme vor möglichen Angriffen zu schützen.
Schwachstelle ermöglicht Backdoor
CVE-2024-20439, Cisco Smart Licensing Utility Static Credential Vulnerability: Diese kritische CVSS 9.8 Schwachstelle betrifft eine undokumentierte, statische administrative Anmeldeinformation, die in der betroffenen Software eingebettet ist. Ein Angreifer könnte diese statische administrative Anmeldeinformation nutzen, um sich in ein betroffenes System einzuloggen und vollständige administrative Kontrolle über die API der Cisco Smart Licensing Utility zu erlangen. Diese Anfälligkeit ermöglicht es dem Angreifer, die Lizenzierungsfunktionen zu manipulieren, was kritische Auswirkungen auf die Systemverwaltung und Sicherheitsprozesse haben könnte.
CVE-2024-20440, Cisco Smart Licensing Utility Information Disclosure Vulnerability: Die zweite kritische 9.8 Schwachstelle führt zu einer ungewollten Offenlegung von Informationen. Dies liegt an einer übermäßig detaillierten Protokollierung (Debug-Logs), die sensible Daten, einschließlich Zugangsdaten, in den Protokollen hinterlegt. Ein Angreifer kann durch das Senden eines speziell gestalteten HTTP-Requests auf diese Debug-Logs zugreifen und dort gespeicherte Informationen verwenden, um die API des Systems zu kompromittieren. Diese Informationen könnten es dem Angreifer ermöglichen, unautorisierten Zugang zu erhalten und sensible Daten zu stehlen oder weiterführende Angriffe auf das System auszuführen.
Cisco-Updates stehen bereit
Cisco hat Updates veröffentlicht, die die Schwachstellen beheben. Betroffene Benutzer sollten ihre Software umgehend auf die in der Warnung genannten gepatchten Versionen aktualisieren. Besonders wichtig ist, dass diese Sicherheitslücken nur behoben werden können, indem die betroffene Software auf eine Version aktualisiert wird, die den entsprechenden Fix enthält, da keine Workarounds zur Verfügung stehen.
Betroffene Versionen und erste gesicherte Versionen
- Release 2.0.0 bis 2.2.0 sind betroffen und sollten auf eine sichere Version migriert werden.
- Release 2.3.0 ist nicht verwundbar und enthält bereits den Fix
Über Cisco Cisco ist das weltweit führende Technologie-Unternehmen, welches das Internet ermöglicht. Cisco eröffnet neue Möglichkeiten für Applikationen, die Datensicherheit, die Transformation der Infrastruktur sowie die Befähigung von Teams für eine globale und inklusive Zukunft.