Netzwerkspezialist
Cisco hat für eine ganze Reihe von Sicherheitslücken Updates veröffentlicht, wovon bei drei das Risiko als kritisch beurteilt wird. Eine kritische Schwachstelle mit der Kennung CVE-2021-5022, die mit einem Score 9,8 von 10 bewertet wird, findet sich in der Policy Suite. Das Problem besteht hier in der mehrfachen Verwendung identischer SSH-Schlüssel auf diversen Geräten. Kommt ein Angreifer an einen Schlüssel heran, kann er sich an anderen Systemen als User mit Root-Privilegien anmelden. Je nach Version stellt Cisco unterschiedliche Massnahmen zur Verfügung, die im entsprechenden
Security Advisory aufgeführt werden.
Mit einem maximalen Score von 10 wird derweil das Risiko in der Optical-Network-Terminal-Software (ONT) für die Switches der Catalyst-PON-Serie
beurteilt. Hier können sich Angreifer über die webbasierte Benutzeroberfläche via Telnet anmelden, wobei das standardmässig deaktivierte Protokoll dafür aktiviert werden muss. Das Problem sind hier hartcodierte Credentials in der Software. Eine zweite Lücke, auch mit dem Score 10 bewertet, ermöglicht ebenfalls den Fernzugriff mit Root-Rechten.
(rd)
