Admins von Cisco Hard- und Software sollten ihre Systeme umgehend auf den aktuellen Stand bringen. Der Bedrohungsgrad der geschlossenen Sicherheitslücken gilt zwar nur als „mittel“, Angreifer attackieren aber bereits Geräte. In den unterhalb dieser Meldung verlinkten Beiträgen gibt es weiterführende Informationen zu den bedrohten Geräten und abgesicherten Versionen. Aufgrund einer Schwachstelle (CVE-2022-20821) in Health Check RPM von Ciscos IOS XR Software könnten Angreifer Geräte attackieren – und genau das findet derzeit statt. Schuld ist ein standardmäßig offener TCP-Port (6379), an dem entfernte Angreifer ansetzen. Sind Attacken erfolgreich, können sie unter anderem Dateien ins Container-Dateisystem schreiben. Da die attackierte Instanz abgeschottet in einer Sandbox läuft, sollen keine Zugriffe auf das Host-System möglich sein. Davon ist einer Warnmeldung von Cisco zufolge ausschließlich 8000 Series Router betroffen, wenn IOS XR 7.3.3 zum Einsatz kommt und Health Check RPM installiert und aktiv ist. In dem Beitrag finden Admins auch Übergangslösungen, falls sie das Sicherheitsupdate derzeit nicht installieren können. Die Ausgabe 7.3.4 soll gegen die Attacken abgesichert sein. Weiterhin sind noch Common Services Platform, Enterprise Chat, Expressway Series, Secure Network Analytics und UCS Director verwundbar. An den Lücken könnten Angreifer unter anderem für XSS- oder sogar Schadcode-Attacken ansetzen. Liste nach Bedrohungsgrad absteigend sortiert:
- IOS XR Software Health Check Open Port
- Common Services Platform Collector Cross-Site Scripting
- Secure Network Analytics Remote Code Execution
- Expressway Series and Cisco TelePresence Video Communication Server
- Enterprise Chat and Email Stored Cross-Site Scripting
- UCS Director JavaScript Cross-Site Scripting