Admins, die Cisco Catalyst SD-WAN Manager oder cPanel mit LiteSpeed-Plug-in verwalten, sollten aufgrund von laufenden Angriffen umgehend die verfügbaren Sicherheitsupdates installieren. Im schlimmsten Fall können Angreifer als root-Nutzer auf Systeme zugreifen. Damit das klappt, müssen sie aber zuerst einige Hürden überwinden.
Vor den Attacken warnt neben den Softwareanbietern auch die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) auf ihrer Website. Sie stufen das Risiko der Angriffe als erhebliches Risiko für die Bundesbehörden ein. In welchem Umfang die Attacken ablaufen, ist zurzeit nicht bekannt.
Aus einer Warnmeldung von Cisco geht hervor, dass die ausgenutzte Sicherheitslücke (CVE-2026-20262 „mittel“) im Web-UI von Catalyst SD-WAN Manager steckt. Weil beim Uploadprozess Nutzereingaben nicht ausreichend geprüft werden, setzen Angreifer dort mit präparierten HTTP-Anfragen an. Darüber überschreiben sie Systemdateien und können sich so Cisco zufolge root-Rechte verschaffen. In so einem Zustand gelten Systeme in der Regel als vollständig kompromittiert. Die Entwickler geben an, dass Catalyst SD-WAN Manager in allen Konfigurationen angreifbar ist.
Damit Angreifer aber überhaupt an dieser Schwachstelle ansetzen können, müssen sie über gültige Zugangsdaten und mindestens über Schreibzugriff verfügen. Die Entwickler versichern, das Sicherheitsproblem in den Ausgaben 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1 und 26.1.1.2 gelöst zu haben.
Die Entwickler vom LiteSpeed-Plug-in schreiben in einem Beitrag, dass die Schwachstelle (CVE-202654420) mit dem Bedrohungsgrad „hoch“ eingestuft ist. Haben Angreifer FTP- oder Web-Shell-Zugriff, können sie sich zum Rootnutzer hochstufen. Das WHM-Plug-in sei davon nicht betroffen. Die Entwickler geben an, die Lücke in v2.4.8 geschlossen zu haben.
Cisco hatte erst vor wenigen Tagen vor einer weiteren attackierten Sicherheitslücke in SD-WAN gewarnt.
(des)
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。