[English]In der Cisco Intersight Virtual Appliance gibt es verschiedene Schwachstellen (CVE-2021-1600, CVE-2021-1601) beim IPv4 und IPv6 Forwarding. Diese Schwachstellen könnten es einem nicht authentifizierten, benachbarten Angreifer ermöglichen, über eine externe Schnittstelle auf sensible interne Dienste zuzugreifen. Cisco hat inzwischen aber Sicherheitsupdates bereitgestellt, um diese Schwachstellen zu schließen.
Ich bin über den nachfolgenden Tweet von Catalin Cimpanu auf das Thema gestoßen und nehme es hier im Blog auf, falls es euch noch nicht bekannt sein sollte.
Im Sicherheitshinweis Cisco Intersight Virtual Appliance IPv4 and IPv6 Forwarding Vulnerabilities vom 21. Juli 2021 verrät der Hersteller Details. Diese Schwachstellen sind auf unzureichende Einschränkungen für IPv4- oder IPv6-Pakete zurückzuführen, die auf der externen Verwaltungsschnittstelle empfangen werden. Ein Angreifer könnte diese Sicherheitslücken ausnutzen, indem er bestimmten Datenverkehr an diese Schnittstelle auf einem betroffenen Gerät sendet. Eine erfolgreiche Ausnutzung könnte es dem Angreifer ermöglichen, auf sensible interne Dienste zuzugreifen und Konfigurationsänderungen auf dem betroffenen Gerät vorzunehmen.
- Die Schwachstelle mit der Cisco-Bug-ID CSCvx84462 betrifft Cisco Intersight Virtual Appliance-Releases vor dem ersten Fixed Release für IPv4-Verkehr.
- Die Sicherheitsanfälligkeit mit der Cisco-Bug-ID CSCvy29625 betrifft Cisco Intersight Virtual Appliance-Releases 1.0.9-184 bis zum ersten fixierten Release für IPv6-Verkehr.
Hinweis: Diese Sicherheitslücken betreffen keine Kunden, die Cisco Intersight Services for Cloud verwenden.
Um die Version der Cisco Intersight Virtual Appliance zu überprüfen, klicken Sie auf das Zahnradsymbol in der oberen rechten Ecke der Web-UI und wählen Sie dann Einstellungen > Software. In der Web-Benutzeroberfläche wird die Versionsnummer angezeigt. Cisco hat Software-Updates veröffentlicht, die diese Sicherheitslücken beheben. Es gibt keine Umgehungslösungen, die diese Sicherheitslücken beheben.
