Cicsos neuer Patch für den Patch

Cisco veröffentlicht erneut ein Update für mehrer WLAN-Produkte für KMU. Bereits im Juni wurden die Geräte mit einem Patch versehen. Die Modelle RV110W, RV130W und RV215 litten unter einem HTTP-Parsing-Leck, das Cisco dann im Juni vermeintlich behoben hatte. Jetzt muss Cisco erneut Sicherheitspatches veröffentlichen.

Die Geräte lassen sich über ein Leck im Command Line Interface angreifen. Allerdings muss der Angreifer lokalen Zugriff auf das Gerät haben, wie Cisco warnt.

Shell-Befehle mit Admin-Rechten

Dann aber kann dieser Shell-Befehle mit vollständigen Admin-Rechten ausführen. Der Fehler entsteht, weil die Eingabenkontrolle ungenügend ist. Cisco gibt daher das Risiko für dieses Leck mit “Medium” an.

In einem weiteren Fix, der ebenfalls die drei genannten Geräte betrifft, wurde ein statischer Default-Account deaktiviert, der ebenfalls mit Root-Rechten ausgestattet war. Das ist durchaus als grober handwerklicher Schnitzer zu werten udn sollte bei als “secure” oder gar “highly secure” beworbenen Geräten eigentlich nie der Fall sein.

Eine hohe Gefährdung geht von einem Fehler in der Verarbeitung von Session Initiation Protocol (SIP) im Unified Communications Manager Instant Messaging and Presence Service aus. Hier können unautorisierte Angreifer remote den SIP Proxy Daemon (sipd) zu einem Neustart zwingen, was in einer Denial of Service Attacke gipfeln kann.

End of Life

Die Modelle RV180 VPN Router oder den RV180W Wireless-N Multifunction VPN Router leiden darüber hinaus an einem kritischen Leck, das Cisco aber nicht mehr beheben wird, weil die Geräte nicht mehr unterstützt werden. Hier sorg ein HTTP-Validation-Bug dafür, dass Angreifer beliebige Befehle mit Administratorrechten ausführen können. Auch kann eine unautorisierte Person Verzeichnisse sehen, die nicht öffentlich sein sollten. Als Workaround empfiehlt Cisco, den Remote-IP-Zugriff auf die Geräte zu begrenzen. Das behebet zwar den Fehler nicht, damit ist er aber wenigsten nicht mehr aus der Ferne ausnutzbar.