Router: Cisco warnt vor gravierenden Lücken zum Code-Ausführen

Routerhersteller Cisco warnt vor mehreren Lücken mit höchstmöglichem Risiko. Sie ermöglichen das Ausführen von Code mit Root-Rechten per HTTP.

Artikel veröffentlicht am ,
Cisco warnt vor schwerwiegenden Sicherheitslücken.
Cisco warnt vor schwerwiegenden Sicherheitslücken. (Bild: Pedro Fiuza via Reuters Connect)

Der Router-Hersteller Cisco warnt in einer Sicherheitsmeldung vor mehreren gravierenden Lücken, die das Unternehmen mit 10 von 10 Punkten der Risikoskala bewertet. Zwei der insgesamt drei Lücken ermöglichten es Angreifern, von außen Code in die Systeme einzuschleusen und auszuführen (Remote-Code-Execution, RCE). Die dritte Lücke ermögliche im Falle eines erfolgreichen Angriffs das Ausweiten der Rechte auf Root-Nutzer.

Stellenmarkt
  1. Technical Consultant Dynamics CRM (w/m/d)
    WILO SE, Dortmund
  2. IT-Projektleiter (m/w/d)
    Kassenärztliche Vereinigung Baden-Württemberg, Karlsruhe
Detailsuche

Die wohl schwerwiegendste Lücke (CVE-2022-20699) betrifft die Dual WAN Gigabit VPN Router RV340, RV340W, RV345 und RV345P. Ursache ist den Angaben zufolge eine nicht ausreichende Überprüfung spezifischer HTTP-Requests (Out-of-Bounds). Nicht authentifizierte Angreifer könnten dies mit speziell modifizierten HTTP-Anfragen nutzen, um Code mit Root-Rechten auszuführen. Für diese Lücke steht offenbar noch kein Update bereit.

Weitere Lücken (CVE-2022-20700, CVE-2022-20701, CVE-2022-20702) betreffen das Web-basierte Management-Interface der genannten Router. Dort würden die Nutzereingaben nicht korrekt validiert, schreibt Cisco. Angreifer könnten bösartige Befehle an die betroffenen Geräte schicken und dann Code auf dem darunter liegenden Linux-Betriebssystem ausführen.

Betroffen ist offenbar außerdem das Web-basierte Management-Interface der gesamten RV-Router-Serie. Dort ermöglichen die Lücken (CVE-2022-20700, CVE-2022-20701, CVE-2022-20702) das Ausweiten von Rechten. Möglich ist dies laut Cisco wegen einer nicht ausreichend umgesetzten Prüfung der Autorisierung. Nach einem erfolgreichen Angriff könnten auch dort beliebige Befehle mit Root-Rechten ausgeführt werden.

Golem Karrierewelt
  1. Microsoft 365 Administration: virtueller Drei-Tage-Workshop
    01.-03.06.2022, Virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    30.05.-03.06.2022, Virtuell
Weitere IT-Trainings

Cisco listet zahlreiche weitere, allerdings weniger gravierende Sicherheitslücken auf. Nutzer sollten entsprechende Updates einspielen, sofern diese verfügbar seien.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


zacha 04. Feb 2022

der Tatsache, dass es schon erstaunlich ist, wie schlecht validiert der Code...

jojo40 04. Feb 2022

Ich möchte Cisco nicht schönreden, aber Beim Chinesen erfährst du es halt erst gar...



Aktuell auf der Startseite von Golem.de
30 Jahre Alone in the Dark
Als der Horror filmreif wurde

Alone in the Dark feiert Geburtstag. Das Horrorspiel war ein Meilenstein bei der filmreifen Inszenierung von Games. Wie spielt es sich heute?
Von Andreas Altenheimer

30 Jahre Alone in the Dark: Als der Horror filmreif wurde
Artikel
  1. Bundesverkehrsministerium: Begleitende Marktforschung zum 9-Euro-Ticket geplant
    Bundesverkehrsministerium
    Begleitende Marktforschung zum 9-Euro-Ticket geplant

    Das Bundesverkehrsministerium beabsichtigt, mit Nutzungsdaten zum 9-Euro-Ticket den öffentlichen Personennahverkehr zu verbessern.

  2. Update-Installation dauert: Störungen bei Kartenzahlungen im Einzelhandel bleiben
    Update-Installation dauert
    Störungen bei Kartenzahlungen im Einzelhandel bleiben

    Es gibt ein Update, um die Zahlungsstörungen mit Giro- oder Kreditkarte zu beseitigen. Die Verteilung des Updates braucht aber noch Zeit.

  3. Optibike: E-Bike mit 480 km Reichweite kostet 17.000 Euro
    Optibike
    E-Bike mit 480 km Reichweite kostet 17.000 Euro

    Das E-Bike Optibike R22 Everest setzt mit seinen zwei Akkus auf Reichweite.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (ASUS VG30VQL1A QHD/200 Hz 329€ statt 400€ im Vergleich) • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12 GB ab 1.024€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) [Werbung]
    •  /