Cisco hat Software-Updates veröffentlicht, um vier Sicherheitslücken in seiner Software zu schließen, die von böswilligen Akteuren ausgenutzt werden könnten, um die Kontrolle über betroffene Systeme zu übernehmen.
Die kritischste Schwachstelle ist CVE-2022-20650 (CVSS-Score: 8.8), die sich auf eine Befehlsinjektionsschwachstelle in der NX-API-Funktion der Cisco NX-OS-Software bezieht, die auf eine unzureichende Eingabevalidierung der vom Benutzer bereitgestellten Daten zurückzuführen ist.
„Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine manipulierte HTTP POST-Anfrage an die NX-API eines betroffenen Geräts sendet“, so Cisco. „Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, beliebige Befehle mit Root-Rechten auf dem zugrunde liegenden Betriebssystem auszuführen.
Die Schwachstelle betrifft Nexus 3000 Series Switches, Nexus 5500 Platform Switches, Nexus 5600 Platform Switches, Nexus 6000 Series Switches und Nexus 9000 Series Switches im Standalone-NX-OS-Modus, auf denen die Cisco NX-OS Software läuft und die die NX-API-Funktion aktiviert haben.
Außerdem werden zwei hochgefährliche Denial-of-Service (DoS)-Fehler in NX-OS – CVE-2022-20624 und CVE-2022-20623 (CVSS-Score: 8.6) – gepatcht, die in den Verkehrsfunktionen Cisco Fabric Services Over IP (CFSoIP) und Bidirectional Forwarding Detection (BFD) auftreten.
CVE-2022-20624, das Cisco von der U.S. National Security Agency (NSA) gemeldet wurde, betrifft die Nexus 3000 und 9000 Series Switches und die UCS 6400 Series Fabric Interconnects, sofern CFSoIP aktiviert ist. CVE-2022-20623 hingegen betrifft nur Nexus 9000 Series Switches, bei denen BFD aktiviert ist.
Schließlich hat der Netzwerkausrüster noch eine dritte DoS-Schwachstelle (CVE-2022-20625, CVSS-Score: 4.3) im Cisco Discovery Protocol Service der Cisco FXOS Software und der Cisco NX-OS Software gepatcht, die es „einem nicht authentifizierten, benachbarten Angreifer ermöglichen könnte, den Dienst neu zu starten, was zu einem Denial-of-Service (DoS)-Zustand führt“.
Cisco sagte, dass es keine Kenntnis von „öffentlichen Ankündigungen oder böswilliger Nutzung“ der oben genannten Schwachstellen hat. Dennoch wird den Nutzern empfohlen, die notwendigen Updates schnell zu installieren, um eine Ausnutzung der Schwachstellen in der Praxis zu verhindern.