Der Cisco AnyConnect VPN Server von Cisco Meraki MX und Z ist verwundbar. Außerdem können Angreifer an einer Schwachstelle in ClamAV ansetzen. Sicherheitspatches stehen zum Download bereit. Bislang gibt es keine Berichte zu Attacken.
In einer Warnmeldung führen die Entwickler aus, dass es bei der Initialisierung von VPN-Sessions zu Fehlern kommt, an denen Angreifer mit präparierten HTTPS-Anfragen ansetzen können. Das führt zu einem Neustart des VPN-Servers und einer Unterbrechung der Verbindung. Dementsprechend müssen sich Nutzer neu verbinden. Weil Angreifer die Attacke Cisco zufolge immer wieder ausführen können, kann es zu einer dauerhaften Unterbrechung kommen. Die Sicherheitslücke (CVE-2025-20271) ist mit dem Bedrohungsgrad "hoch" eingestuft.
Davon sollen die folgenden Produkte betroffen sein:
MX64MX64WMX65MX65WMX67MX67CMX67WMX68MX68CWMX68WMX75MX84MX85MX95MX100MX105MX250MX400MX450MX600vMXZ3Z3CZ4Z4CDie Entwickler geben an, das Sicherheitsproblem in den Ausgaben 18.107.13, 18.211.6 und 19.1.8 gelöst zu haben. Das Problem trete ab Version 16.2 auf. Da der Support für 16.2 und 17.6 bereits ausgelaufen ist, müssen Admins auf eine aktuelle Ausgabe upgraden.
ClamAV ist ebenfalls für eine DoS-Attacke anfällig. Die Lücke (CVE-2025-20234 "mittel") steckt in der Verarbeitung des Universal Disk Format (UDF). Scannt ClamAV präparierten UDF-Inhalte, kommt es zu Speicherfehlern und der Scanner stürzt ab. Das hat zur Folge, dass Appliances über keinen Virenschutz mehr verfügen.
Der Netzwerkausrüster gibt an, die Schwachstelle in den folgenden Ausgaben geschlossen zu haben:
Secure Endpoint Connector for Linux 1.26.1Secure Endpoint Connector for Mac 1.26.1Secure Endpoint Connector for Windows 7.5.21, 8.4.5Secure Endpoint Private Cloud 4.2.2 (or earlier with updated connectors)Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo