Cisco предупреди за две уязвимости в сигурността, засягащи излезлите от употреба рутери Small Business RV016, RV042, RV042G и RV082, които според компанията няма да бъдат отстранени, въпреки че призна публичната наличност на доказателство за концепцията (PoC).
Проблемите се коренят в уеб-базирания интерфейс за управление на маршрутизатора, което позволява на отдалечен противник да заобиколи удостоверяването или да изпълни злонамерени команди в основната операционна система.
Най-сериозният от двата проблема е CVE-2023-20025 (CVSS оценка: 9,0), който е резултат от неправилно валидиране на потребителския вход във входящите HTTP пакети.
Хакер може да се възползва от него отдалечено, като изпрати специално създадена HTTP заявка към уеббазирания интерфейс за управление на уязвимите рутери, за да заобиколи удостоверяването и да получи повишени разрешения.
Липсата на адекватно валидиране е причина и за втория недостатък, проследен като CVE-2023-20026 (CVSS оценка: 6,5), който позволява на атакуващ с валидни администраторски данни да получи права на ниво root и достъп до неоторизирани данни.
„Cisco не е пуснала и няма да пусне софтуерни актуализации за отстраняване на уязвимостите“, заявиха от компанията. „Маршрутизаторите Cisco Small Business RV016, RV042, RV042G и RV082 са влезли в процес на извеждане от експлоатация.“
Като обходни мерки на администраторите се препоръчва да деактивират отдалеченото управление и да блокират достъпа до портове 443 и 60443. При това Cisco предупреждава потребителите да „определят приложимостта и ефективността [на смекчаването] в собствената си среда и при собствените си условия на използване“.
Хоу Лиуян от Qihoo 360 Netlab има заслуга за откриването и съобщаването на недостатъците на Cisco.
Големият производител на мрежово оборудване отбеляза още, че макар да е наясно с PoC кода, заяви, че не е наблюдавал злонамерено използване на уязвимостите при реални атаки.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.