Nach aktueller IT-Sicherheitswarnung des BSI schließt Cisco mehrere Sicherheitslücken, von denen einige als „kritisch“ eingestuft wurden.
Ausnutzung der Sicherheitslücke kann nicht ausgeschlossen werden
Die Schwachstellen betreffen die web-basierte Benutzeroberfläche zur Verwaltung mehrerer Switches. Sie erlauben es entfernten Angreifern beliebigen Programmcode mit root-Rechten auszuführen, die zu Speicherüberläufen in Cisco Small Business Series Switchen führen.
Des Weiteren werden mit dem aktuellen Patch Schwachstellen geschlossen, die unter anderem Denial-of-Service Angriffe ermöglichen.
Mehrere Produktreihen sind betroffen
Laut vorliegenden Informationen sind die nachfolgenden Produktreihen von den Schwachstellen CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 und CVE-2023-20189 betroffen:
- 250 Series Smart Switches
- 350 Series Managed Switches
- 350X Series Stackable Managed Switches
- 550X Series Stackable Managed Switches
- Business 250 Series Smart Switches
- Business 350 Series Smart Switches
- Small Business 200 Series Smart Switches
- Small Business 300 Series Managed Switches
- Small Business 500 Series Stackable Managed Switches
Folgende Modellreihen sind nicht betroffen:
- 220 Series Smart Switches
- Business 220 Series Smart Switches
Für folgende Modelle wird es aufgrund des abgelaufenen Supports kein Update geben:
- Small Business 200 Series Smart Switches
- Small Business 300 Series Managed Switches
- Small Business 500 Series Stackable Managed Switches