Betroffene Produkte
Cisco Identity Service Engine (ISE)
Kritikalität der Schwachstelle(n)
CVSS Score: 7.1 sowie 6.1
Auswirkungen
Path-Traversal-Schwachstelle sowie Cross-Site-Scripting-Attacke
Beschreibung
Die Schwachstellen, die erstmals von Davide Virruso bei Yoroi entdeckt wurden, werden als „Hoch“ (CVE-2022-20822) sowie „Mittel“ (CVE-2022-20959) klassifiziert.
Die Path-Traversal-Schwachstelle ermöglicht es Angreifern mit authentifizierten Nutzerdaten, Dateien zu lesen oder gar zu löschen, auf welche sie eigentlich mit den konfigurierten Zugriffrechten keinen Zugriff haben sollten.
Durch Senden von manipulierten HTTP-Anfragen mit bestimmten Zeichenketten können Angreifer die Sicherheitsmaßnahmen überwinden und laut CISA sogar die volle Kontrolle übernehmen.
Angreifer versuchen bei einer Path-Traversal-Schwachstelle an Dateien zu gelangen, welche generell nicht im Web-Root-Ordner hinterlegt sind. Hier könnten Angreifer theoretisch auf weitere Daten zugreifen, die gar nicht angezeigt werden.
Die Cross-Site-Scripting-Attacke ermöglicht es Angreifern, durch eine unzureichende Filterung der External RESTful Services (ERS), beliebigen Script-Code im Nutzerkontext auszuführen.
Die Angreifer nutzen diese Schwachstelle mittels manipulierter Links, die von den Nutzern aktiv benutzt werden müssen.
Bei einem Cross-Site-Scripting-Angriff nutzen Angreifer Lücken in Webanwendungen, um entweder manipulierte Inhalte im Nutzerkontext auszuführen oder Cookies und Session Informationen des Nutzers zu stehlen.
CVEs
CVE-2022-20822
CVE-2022-20959
Mitigation oder Maßnahme zur Vermeidung respektive mögliche Handlungsempfehlungen
Updates für die Path-Traversal-Schwachstelle werden für die Version 3.1 im November 2022 mit dem 3.1P5 Update veröffentlicht, und für die Version 3.2 im Januar 2023 mit dem 3.2P1 Update. (Die Version 3.0 ist laut Cisco nicht betroffen)
Updates für die Cross-Site-Scripting-Attacke werden mit den Versionen 2.7P8 und 3.0P7 im Februar 2023 behoben und 3.1P4 sowie 3.2P1 bereits im Januar.
Da ältere Versionen der ISE ebenso anfällig für die beiden Schwachstellen sind aber keine Updates mehr erhalten, empfiehlt Cisco den IT-Verantwortlichen ihre ISE auf eine neuere Version anzuheben.
Referenzen und Links
[1] Security Advisory: https://www.heise.de/news/Cisco-ISE-Angreifer-koennten-Kontrolle-uebernehmen-7317442.html?wt_mc=rss.red.security.alert-news.rdf.beitrag.beitrag
[2] Security Advisory: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-path-trav-Dz5dpzyM
[3] Security Advisory: https://www.helpnetsecurity.com/2022/10/21/cve-2022-20822-cve-2022-20959/