Ciscos Sicherheitsserver ACS hat ein Loch

Ciscos ‘Secure Access Control Server ‘ (ACS) hat ein Loch, das scheinbar sehr einfach zu nutzen ist.

Die verwundbare Stelle ist damit ausgerechnet in einer tragenden Säule von Ciscos strategischem Portfolio für Trusted Management und Identitätsverwaltung entdeckt worden, die zur ‘Network Admission Control’-Initiative gehört, kurz NAC.

Secure ACS soll den Nutzern die Handhabung verschiedener Sicherheitsprotokolle und -Methoden erleichtern, weil hier alle Verwaltungsaufgaben im Security-Umfeld zusammengefasst und an einer Stelle zu verwalten sind. Die Lösung ist ein notwendiger Bestandteil als Hub für NAC und daher weit verbreitet.

Wegen dieser Funktion sei die Lücke besonders fatal, sagte ein unabhängiger Sicherheitsforscher gegenüber der US-Presse. Die Lücke gebe einem Nutzer so etwas wie Admin-Rechte über sämtliche Sicherheitsfunktionen und letztlich auch über die Ports in einem Netzwerk. Cisco ist bereits über die Lücke informiert und lässt derzeit das interne Product Security Incident Response Team die Lücke prüfen. Die Kunden werden vom Hersteller informiert, sobald es neue Informationen gibt.