Cisco bestätigt hochkritisches Leck in VoIP-Software

Zwei Fehler liegen in der Kommandozeile des ‘Unified CallManagers 5.0’. Die Software verwaltet Anrufe, die über die Voice-over-IP-Lösungen (VoIP) von Cisco geleitet werden. Über den Fehler kann ein eingeloggter Administrator seine Rechter auf ‘Root’ erweitern, beliebigen Code ausführen, Dateien überschreiben und eine Denial-of-Service-Attacke starten.

Die SIP-Unterstützung (Session Initiation Protocol) kann über besonders lange Host-Namen zum Überlaufen gebraucht werden. Dabei können Angreifer auch Code nachfüttern, worüber er dann beliebigen Code ausführen und ebenfalls eine Denial-of-Service-Attacke starten kann.

Das Cisco Router Web Setup Tool (CRWS) hat ebenfalls ein Leck. Die Software hat Probleme, entfernte Web-Nutzer richtig zu authentifizieren. Ein Angreifer kann dadurch seine Rechte auf dem System ausdehnen.

Über ein Software-Update will Cisco das Problem im CallManager aus der Welt schaffen. Die Sicherheitsexperten von Symantec haben die Fehler in der VoIP-Software, die keinen speziellen Exploit-Code brauchen, um ausgenutzt werden zu können, mit der höchst möglichen Gefährdungsstufe bewertet. Das Problem lässt sich eindämmen, indem gesicherte Netzverbindungen erzwungen werden oder der Zugriff auf den CallManager mit Listen von Berechtigten eingeschränkt wird.

Silicon-Redaktion

Recent Posts

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

1 Tag ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

2 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

3 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

5 Tagen ago