[NCSC-varsel] Kritiske sårbarheter i flere Cisco-produkter

NCSC ønsker å varsle om kritiske sårbarheter i flere Cisco-produkter:

• Cisco UCS Director
• Cisco UCS Director Express
• Cisco IP Phones Web Server

Sårbarhetene for Cisco UCS har fått følgende CVE-nummer [1]:

    CVE-2020-3239, CVE-2020-3240, CVE-2020-3243, CVE-2020-3247,

    CVE-2020-3248, CVE-2020-3249, CVE-2020-3250, CVE-2020-3251,

    CVE-2020-3252

Sårbarhetene for Cisco IP Phones Web Server har fått følgende CVE- nummer [2]:

    CVE-2020-3161

Sårbarhetene i Cisco UCS tillater i verste tilfelle en uautentisert angriper å forbigå autentiseringen for REST API-et til tjenesten.

De vil da kunne bruke API-et med administrator-rettigheter.

Sårbarheten for Cisco IP Phones Web Server kan gjøre det mulig for en angriper å fjerneksekvere vilkårlig kode

på sårbare IP-telefoner med root-rettigheter.

NCSC viser til Cisco for hvilke versjoner av de ulike produktene som er berørt.

Cisco har også sluppet andre, mindre kritiske oppdateringer til flere andre produkter [3].

NCSC er ikke kjent med aktiv utnyttelse av sårbarhetene, men anbefaler likevel virksomheter å oppdatere så snart dette lar seg gjøre.

Referanser:

[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucsd-mult-vulns-UNfpdW4E

[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voip-phones-rce-dos-rB6EeRXs

[3] https://tools.cisco.com/security/center/publicationListing.x