Kritische Zero Day auf Cisco-Systemen ohne Patch wird ausgenutzt

Eine bisher nicht gepatchte Zero-Day-Lücke für Cisco-Systeme mit dem CVSS-Score von 10 wird bereits aktiv ausgenutzt. Cisco veröffentlicht eine Notfallmassnahme und arbeitet an einer Lösung.

17. Oktober 2023

Cisco bestätigt die Existenz einer bereits aktiv ausgenutzten Zero-Day-Lücke. Das Leck befindet sich im Web UI Feature der Cisco IOS XE Software und wird mit einem kritischen CVSS-Score von 10 bewertet (CVE-2023-20198). Die Lücke erlaubt es Angreifern, auf mit dem Internet verbundenen Systemen Accounts zu erstellen und Privileged Level 15 Zugriff zu erhalten, wie es in der detaillierten Beschreibung der Zero Day heisst. In Folge kann das ganze Netzwerk übernommen werden.

Einen Fix für die Lücke gibt es noch nicht. Die dringende Empfehlung des Hersteller ist es, das HTTP Server Feature auf allen zum Internet offenen Systemen zu deaktivieren, bis eine Lösung gefunden und veröffentlicht wird. Im Global Configuration Mode ist dies mit den Commands "no ip http server" oder "no ip http secure-server" möglich.

Mehr Infos zur Zero Day finden sich im Security Advisory von Cisco. Sobald mehr Infos oder ein Patch verfügbar sind, will das Unternehmen entsprechend informieren. (win)

Cisco gibt Ende des Hyperflex HCI-Portfolios bekannt

17. September 2023 - Cisco stellt sein Hyperflex-Angebot ein. End-of-Life- und End-of-Sale-Termine stehen bereits fest, Kunden sollen stattdessen auf Nutanix-Software in Kombination mit Cisco-Hardware migrieren.

Cisco präsentiert neue Chips für KI-Umgebungen

26. Juni 2023 - Mit der Silicon-One-Generation 4 beschleunigt Cisco die Kommunikation in KI- und Machine-Learning-Netzwerken auf bis zu 51,2 Terabit pro Sekunde.

Artikel kommentieren