Am Mittwoch dieser Woche hat der Netzwerkausrüster Cisco neun Sicherheitsmitteilungen veröffentlicht. Sie behandeln zum Teil kritische Schwachstellen in mehreren Produkten des Unternehmens. Admins sollten bereitstehende Aktualisierungen zügig anwenden.

In Ciscos Smart Software Manager On-Prem (SSM On-Prem) können nicht authentifizierte Angreifer aus dem Netz beliebige Befehle ins Betriebssystem des Hosts schleusen und dort ausführen. Ursache ist ein unabsichtlich extern erreichbarer Dienst. Durch das Senden manipulierter Pakete an die API des Dienstes können Angreifer Befehle als root ausführen (CVE-2026-20160, CVSS 9.8, Risiko „kritisch“). Zudem können Angreifer in Ciscos Integrated Management Controller (IMC) die Authentifizierung umgehen. Das liegt an nicht näher erläuterten Fehlern im Verarbeiten von Passwort-Änderungsanfragen. Bösartige Akteure können das mit sorgsam präparierten HTTP-Anfragen ohne vorherige Authentifizierung missbrauchen, um Passwörter beliebiger Nutzer einschließlich „Admin“ zu verändern und damit Zugang zu erlangen (CVE-2026-20093, CVSS 9.8, Risiko „kritisch“).

Weitere hochriskante Cisco-Schwachstellen

Die webbasierte Verwaltungsoberfläche von Ciscos IMC weist zudem mehrere weitere Lücken auf, die angemeldeten Angreifern aus dem Netz das Ausführen beliebigen Codes aus dem Netz oder das Einschleusen von Befehlen ans Betriebssystem sowie die Ausweitung der Rechte zu root ermöglichen (CVE-2026-20094, CVSS 8.8, Risiko „hoch“; CVE-2026-20095, CVE-2026-20096, CVE-2026-20097, alle CVSS 6.5, Risiko „mittel“). Im webbasierten Management-Interface von Ciscos Evolved Programmable Network Manager (EPNM) prüft ein REST-API-Endpunkt die Autorisierung nicht korrekt. Dadurch können angemeldete Nutzer aus dem Netz unbefugt auf sensible Informationen zugreifen (CVE-2026-20155, CVSS 8.0, Risiko „hoch“). Das Web-Interface von Ciscos SSM On-Prem weist zudem eine Rechteausweitungslücke auf. Angemeldete Nutzer können manipulierte Nachrichten an verwundbare SSM-On-Prem-Systeme senden und dadurch Session-Credentials in nachfolgenden Statusnachrichten erlangen; bei erfolgreicher Attacke können sich Angreifer so administrative Rechte verschaffen (CVE-2026-20151, CVSS 7.3, Risiko „hoch“).

Außerdem warnt Cisco vor vier weiteren Sicherheitslecks:

• Cisco Nexus Dashboard Configuration Backup REST API Unauthorized Access Vulnerability (CVE-2026-20042, CVSS 6.5, Risiko „mittel“)
• Cisco Nexus Dashboard and Nexus Dashboard Insights Server-Side Request Forgery Vulnerability (CVE-2026-20041, CVSS 6.1, Risiko „mittel“)
• Cisco Integrated Management Controller Cross-Site Scripting Vulnerabilities (CVE-2026-20085, CVSS 6.1, Risiko „mittel“; CVE-2026-20087, CVE-2026-20088, CVE-2026-20089, CVE-2026-20090, CVSS 4.8, Risiko „mittel“)
• Cisco Nexus Dashboard Insights Arbitrary File Write Vulnerability (CVE-2026-20174, CVSS 4.9, Risiko „mittel“)

Keine der nun gemeldeten Schwachstellen wird bereits ausgenutzt, ergänzt der Netzwerkausrüster in den Sicherheitsmitteilungen.

Cisco ist jüngst angeblich Opfer eines Cyberangriffs geworden. Kriminelle konnten demnach auf Quellcode aus der Entwicklungsabteilung zugreifen. Das war aufgrund eines Lieferkettenangriffs auf die Python-Bibliothek LiteLLM aus der PyPI-Paketverwaltung möglich.

(dmk)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die erste Version seines Leitfadens zur Methodik des IT-Grundschutzes++ veröffentlicht. Der entsprechende Katalog ist bereits zum 1. Januar 2026 erschienen. Damit kommt das BSI seiner in der NIS2-Umsetzungsverordnung festgelegten Pflicht nach, einen neuen „Stand der Technik“ zu definieren, der für alle wichtigen und besonders wichtigen Organisationen verpflichtend ist. Die bisherige Fassung des IT-Grundschutzes gilt aber noch bis Ende 2028.

Damit hat das BSI pünktlich und umfangreich geliefert, aber es ist auch festzustellen, dass noch nicht alles fertig ist. Wer mit dem Leitfaden und dem Anwenderkatalog jetzt die Migrationen starten möchte, sollte besser noch etwas Geduld haben. Der Leitfaden ist explizit nur für Pilotprojekte und nicht für die Migration von Informationsverbünden, die derzeit ein Informationssicherheitsmanagementsystem (ISMS) nach Grundschutz Edition 2023 betreiben.

Weniger Aufwand dank Maschinenlesbarkeit

Das BSI hat nun bis Ende 2028 Zeit, aus den Pilotprojekten zu lernen und die Methodik, die Umsetzungshilfen, das Auditierungsschema und alles, was die Anwender sonst benötigen, weiterzuentwickeln. Besonders wichtig ist auch ein Migrationspfad und die notwendigen Werkzeuge, denn der Grundschutz++ besteht nicht mehr aus PDF-Dateien, die jeweils einen Baustein enthalten, sondern aus drei OSCAL-Katalogdateien (Methodik, Kernel und die Kombination aus beiden, der Anwenderkatalog). Dazu kommen Anleitungen, beispielsweise welche Kontrollen die Organisation auf ein Hostsystem (früher: Server) anwenden muss. Mit der Verwendung eines maschinenlesbaren Standards will das BSI auch die Verwaltung der Sicherheitsanforderungen erleichtern.

Mit dem am heutigen Mittwoch erschienenen Leitfaden wird bereits viel erklärt – nützlich für alle, die sich früh auf die Migration vorbereiten wollen oder als NIS2-Betroffene ein ISMS nach vom BSI definierten „Stand der Technik“ aufbauen wollen. Aber mit Änderungen ist noch zu rechnen. Was sich wohl nicht mehr stark ändern wird, sind die genannten drei Kataloge. Hier finden Anwender alle Kontrollen, an denen sie sich auch heute schon orientieren können. Der Leitfaden unterstützt beim Verständnis. Im Zweifel gilt allerdings immer, was der Katalog festlegt.

Für Neugierige hat die „AG 3 Benutzergenerierte Inhalte“ der aktuellen Phase 2 der Community-Kommentierung mehrere Werkzeuge bereitgestellt. Der „GSpp-Viewer.html“ zeigt den Katalog und die Zielobjektkategorien. Die weiteren One-Page-HTML-Apps bilden alle Arbeitsschritte gemäß NIST OSCAL 1.1.3 ab.

(axk)

Apple wird im Laufe des Mittwochs ein spezielles Update für Nutzer ausliefern, die mit ihren Geräten noch unter iOS 18 verblieben sind. Der Grund: Sie sind möglicherweise für die Malware DarkSword anfällig, die über verschiedene Websites verbreitet wird. Da der Quellcode für den Datenschädling mittlerweile bekannt ist, verbreitet er sich derzeit. Die Infektion beginnt, sobald man eine infizierte Seite im Browser aufruft. Aufgetreten sein soll das bereits auf Websites mit Zielgruppe in der Ukraine, Malaysia, Saudi-Arabien und Türkei. Es kann aber letztlich überall passieren, sofern die Kriminellen die Kontrolle über einen Server haben. DarkSword soll weitgehenden Zugriff auf die Hardware erhalten, kann somit zahlreiche Daten auslesen und exfiltrieren sowie vermutlich auch Kamera und Mikrofon aktivieren.

Ein abgedichtetes iOS 18 ist längst da

In iOS 26 hatte Apple die von DarkSword ausgenutzten Lücken bereits geschlossen. Auch für iOS 18 liegen eigentlich längst Patches vor, zuletzt lieferte Apple zusammen mit iOS 26.4 auch iOS 18.7.7 und iPadOS 18.7.7 aus. Das Problem: Diese Aktualisierungen laufen nur auf iPhone XS, XS Max und XR sowie den iPads der 7. Generation. Dies sind Geräte, die iOS 26 nicht mehr vertragen, aber mit iOS 18 arbeiten. Für alle moderneren iPhones und iPads erwartet Apple eigentlich, dass User auf iOS 26 beziehungsweise iPadOS 26 wechseln. Auch wegen der umstrittenen neuen Oberfläche Liquid Glass taten dies aber nicht alle.

Deswegen will Apple nun eine zusätzliche Version von iOS 18 (und vermutlich iPadOS 18) herausbringen, die mittels Backporting kritische Fehlerbehebungen ausliefern soll. „Wir stellen das iOS-18-Update für weitere Geräte bereit, damit Nutzer, bei denen die automatische Aktualisierung aktiviert ist, wichtige Sicherheitsupdates automatisch erhalten“, so Apple gegenüber dem Magazin Wired. Das heißt: Apple öffnet die Updates auch für Geräte, die eigentlich mit iOS 26 arbeiten. Apple empfiehlt allerdings weiterhin, für den „fortschrittlichsten Schutz” gleich ganz auf iOS 26 umzusteigen.

Neben DarkSword gab es auch Coruna

Der Vorgang wirft ein Schlaglicht auf die Tatsache, dass Apple Fehlerbehebungen nur noch teilweise an ältere Versionen seiner Betriebssysteme ausliefert beziehungsweise – wie bei iOS 26 und neueren Geräten – gar keine mehr. Der bekannte Sicherheitsexperte Patrick Wardle sagte gegenüber Wired, wenn der Schutz der Nutzer wichtig ist, müssten kritische Fehlerbehebungen auch für ältere Versionen der Standard sein.

Apple hatte bereits verschiedene ältere Versionen mit Fixes außer der Reihe versehen, um seine Systeme neben DarkSword auch gegen eine andere Malware namens Curona abzusichern. Es zeigt sich einmal mehr, dass nur die jeweils neueste Version eines Apple-Betriebssystems die am besten geschützte ist, was angesichts des Jahrestaktes an Updates, die Apple nach wie vor vorlegt, Nutzer in Gefahr bringt, die nicht so schnell aktualisieren wollen.

(bsc)