Für mehrere Kommunikationsprodukte aus dem Cisco-Portfolio hat der Hersteller Updates bereitgestellt, die teils kritische Sicherheitslücken schließen. IT-Verantwortliche, die betroffene Software einsetzen, sollten die bereitstehenden Aktualisierungen rasch einspielen. Eine kritische Schwachstelle findet sich in der Cisco Expressway-Serie und dem Cisco TelePresence Video Communication Server. Aufgrund unzureichender Eingabeprüfungen könnte ein sich Angreifer mit administrativen Lese- und Schreibrechten am System anmelden und manipulierte Eingaben an den betroffenen Befehl übergeben. So könnte er beliebige Dateien im unterliegenden Betriebssystem als root-Nutzer überschreiben und das System in logischer Konsequenz übernehmen (CVE-2022-20812, CVSS 9.0, Risiko „kritisch“). Zudem kann ein sogenanntes Null Byte Poisoning nicht angemeldeten Angreifern aus dem Netz ermöglichen, unbefugt auf sensible Daten zuzugreifen. Der Fehler basiert auf einer ungenügenden Zertifikatvalidierung, schreibt Cisco in der Sicherheitsmeldung zu dieser und der vorhergehenden Lücke (CVE-2022-20813, CVSS 7.4, hoch). Um die Lücke zu missbrauchen, könnte ein Angreifer mittels Man-in-the-Middle-Techniken Traffic zwischen Geräten abfangen und mit einem manipulierten Zertifikat den Endpunkt imitieren. Nach erfolgreichem Angriff könnte ein Angreifer den abgefangenen Verkehr im Klartext lesen oder etwa seinen Inhalt verändern. In Ciscos Smart Software Manager in der lokal im Netzwerk installierten On-Premise-Version könnten bösartige authentifizierte Akteure aus dem Netz einen Denial-of-Service des Geräts provozieren. In der Sicherheitsmeldung erläutert der Hersteller, dass ein Angreifer durch den inkorrekten Umgang mit mehren gleichzeitigen Geräteregistrierungen mehrere Geräteregistrierungsanfragen an ein betroffenes Gerät senden und es so lahmlegen könnte (CVE-2022-20808, CVSS 7.7, hoch). Cisco hat noch einige weitere Sicherheitsmeldungen zu Sicherheitslücken veröffentlicht. Sie sind nachfolgend nach absteigendem Schweregrad sortiert:
Cisco Unified Communications Products Arbitrary File Read Vulnerability (CVE-2022-20791, CVSS 6.5, mittel)
Cisco Unified Communications Products Access Control Vulnerability (CVE-2022-20859, CVSS 6.5, mittel)
Cisco Unified Communications Products Cross-Site Scripting Vulnerability (CVE-2022-20800, CVSS 6.1, mittel)
Cisco Unified Communications Products Cross-Site Scripting Vulnerability (CVE-2022-20815, CVSS 6.1, mittel)
Cisco Unified Communications Products Timing Attack Vulnerability (CVE-2022-20752, CVSS 5.3, mittel)
Cisco TelePresence Collaboration Endpoint and RoomOS Software Information Disclosure Vulnerability (CVE-2022-20768, CVSS 4.9, mittel)
Cisco Unified Communications Manager Arbitrary File Read Vulnerability (CVE-2022-20862, CVSS 4.3, mittel)
Administratoren sollten die verwundbare Software zügig auf den neuen Stand bringen, um so die Angriffsfläche so gering wie möglich zu halten.