C
Security

Cisco stopft kritische Lücken in ISE und Webex: RCE und Identitätsdiebstahl drohen

Vier kritische Sicherheitslücken in Ciscos Identity Services Engine und Webex ermöglichen Angreifern Remote Code Execution und Identitätsdiebstahl. Ein Update ist zwingend nötig.

CR
Codekiste Redaktion16. April 2026
#Security#Cisco#Vulnerability#Patch-Management#RCE#Webex#ISE

Kritische Sicherheitslücken: Cisco patcht ISE und Webex

Cisco hat Sicherheitsupdates für vier kritische Schwachstellen in seinen Produkten Identity Services Engine (ISE) und Webex Services veröffentlicht. Die Lücken sind alarmierend: Sie ermöglichen Angreifern nicht nur die Ausführung beliebigen Codes auf Betriebssystemebene, sondern auch den Identitätsdiebstahl innerhalb von Webex. Administratoren sollten umgehend handeln.

Die Schwachstellen im Detail

Besonders brisant sind drei der vier Schwachstellen, da sie mit CVSS-Scores von 9.9 fast das Maximum auf der Skala erreichen. Sie betreffen Ciscos Identity Services Engine (ISE) und den ISE Passive Identity Connector (ISE-PIC).

CVE-2026-20147 (CVSS 9.9) zielt auf ISE und ISE-PIC ab. Ein authentifizierter, entfernter Angreifer, der im Besitz gültiger Administrationszugangsdaten ist, kann durch den Versand manipulierter HTTP-Anfragen Remote Code Execution (RCE) erlangen. Wie Cisco in seinem Advisory warnt, kann der Angreifer nach dem erfolgreichen Exploit User-Level-Zugriff auf das Betriebssystem erhalten und seine Privilegien auf Root-Ebene eskalieren.

Ähnlich verheerend sind CVE-2026-20180 und CVE-2026-20186 (beide CVSS 9.9). Auch hier handelt es sich um Lücken aufgrund unzureichender Validierung von Benutzereingaben in der ISE. Der Unterschied: Ein authentifizierter Angreifer benötigt lediglich Read-Only-Admin-Zugangsdaten, um beliebige Befehle auf dem zugrunde liegenden Betriebssystem auszuführen. Die Schwelle für einen Angriff ist hier deutlich niedriger, da Lesezugänge in Unternehmensumgebungen oft großzügiger vergeben werden als Schreibzugänge.

Darüber hinaus warnt Cisco vor einer potenziellen Denial-of-Service (DoS)-Bedrohung: In Single-Node-ISE-Bereitstellungen kann ein erfolgreicher Angriff den Knoten unerreichbar machen. Endgeräte, die sich noch nicht authentifiziert haben, verlieren in diesem Zustand den Netzwerkzugang, bis das System wiederhergestellt ist.

Identitätsdiebstahl bei Webex

Neben der ISE ist auch Webex von einer kritischen Lücke betroffen. CVE-2026-20184 (CVSS 9.8) resultiert aus einer fehlerhaften Zertifikatsvalidierung bei der Integration von Single Sign-On (SSO) mit dem Control Hub. Dies ermöglicht es einem nicht authentifizierten, entfernten Angreifer, jeden Benutzer innerhalb des Dienstes zu imitieren und unbefugten Zugriff auf legitime Cisco Webex-Dienste zu erlangen.

Handlungsbedarf und Updates

Während Cisco betont, dass es bisher keine Hinweise auf aktive Ausnutzung der Schwachstellen gibt, ist schnelles Handeln angeraten.

Für die Webex-Lücke CVE-2026-20184 ist keine Kundenaktion erforderlich, da es sich um eine Cloud-basierte Lösung handelt und Cisco serverseitig aktiv wird. Kunden, die SSO nutzen, rät der Hersteller jedoch dringend, ein neues SAML-Zertifikat des Identity Providers (IdP) im Control Hub hochzuladen, um die Lücke endgültig zu schließen.

Für die ISE-Schwachstellen stehen folgende gepatchte Versionen zur Verfügung:

  • CVE-2026-20147:
    • Versionen vor 3.1: Migration auf eine feste Version erforderlich
    • 3.1: Patch 11
    • 3.2: Patch 10
    • 3.3: Patch 11
    • 3.4: Patch 6
    • 3.5: Patch 3
  • CVE-2026-20180 und CVE-2026-20186:
    • Versionen vor 3.2: Migration auf eine feste Version erforderlich
    • 3.2: Patch 8
    • 3.3: Patch 8
    • 3.4: Patch 4
    • 3.5: Nicht vulnerabel

Einordnung: Netzwerk-Infrastruktur im Fokus

Die Kombination aus kritischen RCE-Lücken und der Möglichkeit des Identitätsdiebstahls macht dieses Patch-Release besonders wichtig. Die Tatsache, dass für CVE-2026-20180 und CVE-2026-20186 lediglich Lesezugriff als Voraussetzung für einen Angriff genügt, erhöht das Risiko erheblich. In der Praxis bedeutet dies, dass kompromittierte Dienstkonten oder ausgespähte Low-Level-Admin-Zugänge ausreichen, um das gesamte Netzwerkzugangskontrollsystem zu übernehmen.

Gerade die ISE ist ein idealer Angriffsvektor, da sie als zentrale Instanz für die Netzwerkzugangskontrolle (NAC) fungiert. Fällt sie aus – wie bei der beschriebenen DoS-Bedingung –, werden neue Geräte vom Netzwerk ferngehalten. Wird sie kompromittiert, hat der Angreifer de facto die Schlüssel zum gesamten Unternehmensnetzwerk. Administratoren sollten diese Patches mit höchster Priorität behandeln und gleichzeitig ihre Vergabe von Admin-Rechten – selbst für reine Lesezugänge – kritisch überdenken.

Quelle: The Hacker News

QUELLEN
The Hacker News
Pro-Feature

Melde dich an und werde Pro-Mitglied, um dieses Feature zu nutzen.

Anmelden
CR
Codekiste Redaktion

Automatisierte Content-Kuratierung für tech-news.

Kommentare

WEITERLESEN
Security

IT-Forensik als Druckmittel: Wenn Ausländerbehörden Handys ausspionieren

Security

KI-Phishing und Datenklau: UAC-0247 greift ukrainische Kliniken an

Security

Deepfake-Missbrauch: Apples App Store bewirbt Nudify-Apps aktiv