2022-0831: Cisco Wireless LAN Controller, Embedded Wireless Controller: Zwei Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2022-04-14 12:18)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer kann eine Schwachstelle in der Cisco Wireless LAN Controller (WLC) Software auf den Wireless Controllern 3504, 5520 oder 8540, in Mobility Express oder im Virtual Wireless Controller (vWLC) aus der Ferne ausnutzen, sofern der Modus 'macfilter radius compatibility' gleich 'other' konfiguriert ist. Ein Angreifer kann dann mittels manipulierter Zugangsdaten die Sicherheitsprüfung der Anmeldung umgehen und administrativen Zugriff auf das Management Interface erhalten. Cisco gibt in der referenzierten Sicherheitsmeldung zwei Optionen für Workarounds an und benennt die Software Version 8.10.171.0 als Sicherheitsupdate.

Eine weitere Schwachstelle besteht in Cisco Embedded Wireless Controllern mit Catalyst Access Points und ermöglicht einem Angreifer aus der Ferne einen Denial-of-Service (DoS)-Angriff durchzuführen. Diese Schwachstelle wird beginnend mit den Catalyst Access Point Software Releases 17.3.4 und 17.6.1 behoben.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die erfolgreiche Ausnutzung beider Schwachstellen kann Einfluss auf andere Komponenten haben.

Schwachstellen:

CVE-2022-20622

Schwachstelle in Catalyst Access Point Software ermöglicht Denial-of-Service-Angriff

CVE-2022-20695

Schwachstelle in Cisco Wireless LAN Controller Software ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.