Angreifer können Konfiguration vom Netzwerkbetriebssystem Arista EOS ändern

»Geschlossene Lücken« – Ein Märchen aus dem Silicon Valley

Die Entwickler prahlen ↗ mit der Schließung von zwei Schwachstellen, als hätten sie gerade das Internet erfunden – dabei könnten Angreifer immer noch munter durch die Hintertür spazieren. Während Admins im Dunkeln tappen, ob die Managementoption OpenConfig ihr Netzwerk zum digitalen Selbstbedienungsladen macht, reiben sich die potenziellen Hacker schon die Hände. Die gNOI-Anfrage, die eigentlich abgewiesen werden sollte, wird plötzlich zum digitalen Schlüssel für die Hintertür – und Arista tut so, als wäre das alles nur ein schlechter IT-Albtraum. Die "kritische" Lücke (CVE-2025-1260) öffnet Tür und Tor für Konfigurationsmanipulationen, während die zweite Schwachstelle (CVE-2025-1259 "hoch") den Blick auf eigentlich gut versteckte Daten freigibt. Arista spielt Verstecken mit der Wahrheit, während potenzielle Angreifer sich bereits die Hände reiben – aber hey, solange es noch keine offiziellen Hinweise auf erfolgreiche Attacken gibt, ist ja alles in bester Ordnung, oder?