Kritiske sårbarheter i Cisco-produkter

Publisert: 12.11.2018

Cisco publiserte 2018-11-07 en rekke sikkerhetsoppdateringer hvor tre var vurdert som kritisk.

NorCERT vil anbefale alle med berørt Cisco utstyr å oppdatere. Dersom man er berørt av de kritiske sårbarhetene beskrevet under, bør oppdatering få høy prioritet da flere av sårbarhetene muliggjør uautentisert fjerneksekvering av kode.

Cisco og NorCERT er ikke kjent med aktiv utnyttelse av sårbarhetene.

Cisco Stealthwatch Management Console Authentication Bypass Vulnerability [2]

CVE referanse: CVE-2018-15394 

Sårbare produkter:

  • Cisco Stealthwatch Enterprise før versjon 6.10.2

Denne sårbarheten gjør det mulig for uautentiserte eksterne angripere å omgå autentiseringsmekanismer og eksekvere kode som administrator. En angriper kan utnytte sårbarheten ved å sende en spesielt utformet HTTP-forespørsel til en berørt applikasjon.

Cisco Small Business Switches Privileged Access Vulnerability [3]

CVE referanse: CVE-2018-15439

Sårbare produkter:

  • Alle enheter under, uansett programvareversjon, dersom ingen konto er konfigurert med privilegienivå 15.
  • Cisco Small Business 200 Series Smart Switches
  • Cisco Small Business 300 Series Managed Switches
  • Cisco Small Business 500 Series Stackable Managed Switches
  • Cisco 250 Series Smart Switches
  • Cisco 350 Series Managed Switches
  • Cisco 350X Series Stackable Managed Switches
  • Cisco 550X Series Stackable Managed Switches

Denne sårbarheten gjør det mulig for uautentiserte eksterne angripere å omgå autentiseringsmekanismer på berørte enheter. Enhetene har en standardbruker for initiell pålogging, som ikke kan fjernes fra
systemet. Administratorer kan dog deaktivere kontoen ved å konfigurere andre brukere på privilegienivå 15. Blir disse brukerne fjernet fra konfigurasjonen, vil standardbrukeren reaktiveres igjen uten notifikasjon og systemet blir dermed sårbart igjen.

En angriper kan bruke denne kontoen til å logge på sårbare enheter og kjøre kommandoer med administrator privilegier.

Merk at Cisco ikke har sluppet oppdateringer for denne sårbarheten. Dersom man har berørte enheter anbefaler NorCERT å installere oppdatering så snart den foreligger, eller å selv omgå sårbarheten ved å
konfigurere en annen bruker på privilegienivå 15.

Cisco Unity Express Arbitrary Command Execution Vulnerability [4]

CVE referanse: CVE-2018-15381

Sårbare produkter:

  • Alle versjoner av Cisco Unity Express før versjon 9.0.6.

Denne sårbarheten gjør det mulig for uautentiserte angripere å fjerneksekvere kode som root. Sårbarheten ligger i hvordan Java Remote Method Invocation-tjenesten (RMI) deserialiserer Java-objekter. Cisco anbefaler å blokkere TCP-port 1099 for eksterne IP-adresser som et midlertidig tiltak dersom man ikke benytter funksjonaliteten.

Det er i tillegg en rekke sårbarheter Cisco ikke vurderer som kritiske:

  • CVE-2016-1000031 - Cisco Meraki Local Status Page Privilege Escalation Vulnerability
  • CVE-2018-0284 - Cisco Video Surveillance Media Server Denial of Service Vulnerability
  • CVE-2018-15449 - Cisco Content Security Management Appliance (SMA) Cross-Site Scripting Vulnerability
  • CVE-2018-15393 - Cisco Registered Envelope Service Information Disclosure Vulnerability
  • CVE-2018-15448 - Cisco Prime Service Catalog Cross-Site Scripting Vulnerability
  • CVE-2018-15451 - Cisco Prime Collaboration Assurance File Overwrite Vulnerability
  • CVE-2018-15450 - Cisco Meeting Server Information Disclosure Vulnerability
  • CVE-2018-15446 - Cisco Immunet and Cisco AMP for Endpoints System Scan Denial of Service Vulnerability
  • CVE-2018-15437 - Cisco Firepower Detection Engine TCP Intrusion Prevention System Rule Bypass Vulnerability
  • CVE-2018-15443 - Cisco Energy Management Suite XML External Entity Vulnerability
  • CVE-2018-15444 - Cisco Energy Management Suite Cross-Site Request Forgery Vulnerability
  • CVE-2018-15445 - Cisco Integrated Management Controller Supervisor SQL Injection Vulnerability
  • CVE-2018-15447 - Cisco TelePresence Video Communication Server Test Validation Script Issue

Referanser

  1. https://tools.cisco.com/security/center/publicationListing.x
  2. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-smc-auth-bypass
  3. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-sbsw-privacc
  4. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-cue