Cisco waarschuwt voor kritieke fout in ASR 9000 Series-routers

Cisco heeft 29 nieuwe kwetsbaarheden bekendgemaakt en waarschuwt klanten die de ASR 9000 Series Aggregation Services Routers gebruiken over een kritieke fout. De kwetsbaarheid kan op afstand misbruikt worden, zonder dat hier een wachtwoord voor nodig is. De fout wordt met een update opgelost.

De ASR-fout draagt de naam CVE-2019-1710. Volgens ZDNet is het één van de meest ernstige kwetsbaarheden van de tientallen die het bedrijf bekend heeft gemaakt. De fout komt met een ernstniveau van 9,8 uit 10. De fout zit in de sysadmin virtual machine op een ASR-router, dat een kwetsbare versie van Cisco IOS XR 64-bit Software draait. Een aanvaller kan de fout misbruiken om toegang te krijgen op applicaties die op de virtuele machine draaien.

“De kwetsbaarheid is ontstaan door incorrecte isolatie van de secundaire management-interface van interne sysadmin-applicaties”, aldus het bedrijf. “Een aanvaller kan deze kwetsbaarheid exploiteren door één van de luisterende interne applicaties te verbinden. Een succesvolle exploit kan resulteren in onstabiele omstandigheden, inclusief een DoS en remote unauthenticated toegang tot het apparaat.”

Administratoren moeten volgens Cisco controleren of een secundaire interface in de IOS XR 64-bit software verbonden is. Als de secundaire management-interface geconfigureerd en verbonden is, is het apparaat kwetsbaar. De fout treft alleen Cisco-software die op de ASR9000 Aggregation Services Routers draait, maar geen andere platformen.

Update

Cisco meldt dat het software-updates heeft uitgebracht om de kwetsbaarheid op te lossen. Het probleem is opgelost in Cisco IOS XR 64-bit Software Release 6.5.3 en 7.0.1.

Daarnaast heeft het bedrijf waarschuwingen uit laten gaan over twee eerder opgeloste fouten, die nu misbruikt worden in een DNS hijacking-campagne genaamd Sea Turtle. De vijf andere ernstige kwetsbaarheden werden door Cisco ontdekt tijdens interne testen. Drie daarvan treffen de Wireless LAN Controller-software. Een vierde treft de Expressway Series en TelePresence Video Communication Server, en de vijfde treft Aironet Series Access Points.