Cisco Meraki MX und Z: Angreifer können VPN-Verbindungen unterbrechen

Der Cisco AnyConnect VPN Server von Cisco Meraki MX und Z ist verwundbar. Außerdem können Angreifer an einer Schwachstelle in ClamAV ansetzen. Sicherheitspatches stehen zum Download bereit. Bislang gibt es keine Berichte zu Attacken.

DoS-Zustand

In einer Warnmeldung führen die Entwickler aus, dass es bei der Initialisierung von VPN-Sessions zu Fehlern kommt, an denen Angreifer mit präparierten HTTPS-Anfragen ansetzen können. Das führt zu einem Neustart des VPN-Servers und einer Unterbrechung der Verbindung. Dementsprechend müssen sich Nutzer neu verbinden. Weil Angreifer die Attacke Cisco zufolge immer wieder ausführen können, kann es zu einer dauerhaften Unterbrechung kommen. Die Sicherheitslücke (CVE-2025-20271) ist mit dem Bedrohungsgrad „hoch“ eingestuft.

Davon sollen die folgenden Produkte betroffen sein:

• MX64
• MX64W
• MX65
• MX65W
• MX67
• MX67C
• MX67W
• MX68
• MX68CW
• MX68W
• MX75
• MX84
• MX85
• MX95
• MX100
• MX105
• MX250
• MX400
• MX450
• MX600
• vMX
• Z3
• Z3C
• Z4
• Z4C

Die Entwickler geben an, das Sicherheitsproblem in den Ausgaben 18.107.13, 18.211.6 und 19.1.8 gelöst zu haben. Das Problem trete ab Version 16.2 auf. Da der Support für 16.2 und 17.6 bereits ausgelaufen ist, müssen Admins auf eine aktuelle Ausgabe upgraden.

ClamAV ist ebenfalls für eine DoS-Attacke anfällig. Die Lücke (CVE-2025-20234 „mittel„) steckt in der Verarbeitung des Universal Disk Format (UDF). Scannt ClamAV präparierten UDF-Inhalte, kommt es zu Speicherfehlern und der Scanner stürzt ab. Das hat zur Folge, dass Appliances über keinen Virenschutz mehr verfügen.

Der Netzwerkausrüster gibt an, die Schwachstelle in den folgenden Ausgaben geschlossen zu haben:

• Secure Endpoint Connector for Linux 1.26.1
• Secure Endpoint Connector for Mac 1.26.1
• Secure Endpoint Connector for Windows 7.5.21, 8.4.5
• Secure Endpoint Private Cloud 4.2.2 (or earlier with updated connectors)

(des)