Nie tak dawno, bo w sierpniu 2021 roku, pisaliśmy o tym, że krytyczna luka w routerach Cisco nie otrzymała łatki. Użyliśmy wtedy tego samego obrazka do zilustrowania posta – można go zobaczyć tutaj.
Jak widać, producent kontynuuje tę politykę, ponieważ w zeszłym tygodniu Cisco ogłosiło, że nie zostaną wydane żadne łaty usuwające lukę w zabezpieczeniach, podkreślmy, o krytycznym znaczeniu, która ma wpływ na routery RV016, RV042, RV042G i RV082 dla małych firm. Oczywiście dotyczy to urządzeń, które osiągnęły koniec okresu eksploatacji (EOL).
Wada bezpieczeństwa, śledzona jako CVE-2023-20025 (wynik CVSS 9,0), wpływa na internetowy interfejs zarządzania routerów i może zostać wykorzystana do obejścia uwierzytelniania.
Problem istnieje, ponieważ dane wprowadzane przez użytkownika w przychodzących pakietach HTTP nie są odpowiednio sprawdzane, co pozwala atakującemu na wysyłanie spreparowanych żądań HTTP do routera, ominięcie uwierzytelniania i uzyskanie uprawnień administratora do systemu operacyjnego.
„Cisco nie wydało i nie wyda aktualizacji oprogramowania usuwających tę lukę. Nie ma obejść, które eliminowałyby tę lukę” — zauważa beztrosko firma w swoim poradniku.
Gigant technologiczny ostrzegł również przed poważnym błędem w internetowym interfejsie zarządzania tych samych routerów, mogącym prowadzić do zdalnego wykonania poleceń. Luka śledzona jako CVE-2023-20026 wymaga uwierzytelnienia osoby atakującej.
Aby złagodzić te luki, administratorzy mogą wyłączyć zdalne zarządzanie na zagrożonych urządzeniach i zablokować dostęp do portów 443 i 60443.
Producent ostrzega, że kod exploita dla tej podatności jest publicznie dostępny, ale twierdzi, że nie ma informacji o złośliwych atakach wykorzystujących tę lukę. Zagrożenie jest jednak spore, bo cyberprzestępcy często atakują routery RV Cisco przeznaczone dla małych i średnich firm.
Dodatkowo w zeszłym tygodniu Cisco ogłosiło poprawki dotyczące luk w zabezpieczeniach telefonów IP Phone z serii 7800 i 8800, Industrial Network Director (IND) oraz platform BroadWorks Application Delivery i BroadWorks Xtended Services. Problemem jest tutaj niewystarczająca weryfikacja danych wprowadzonych przez użytkownika w internetowym interfejsie zarządzania telefonów IP Phone z serii 7800 i 8800, która może umożliwić zdalnemu atakującemu obejście uwierzytelniania.
Problem bezpieczeństwa w IND „istnieje, ponieważ statyczna wartość klucza przechowywana w aplikacji może być używana do szyfrowania danych aplikacji i zdalnych poświadczeń” i może zostać wykorzystana do odszyfrowania danych i uzyskania dostępu do zdalnych systemów monitorowanych przez IND.
Platformy BroadWorks są dotknięte błędem sprawdzania poprawności danych wejściowych, który umożliwia atakującym wysyłanie spreparowanych żądań HTTP i wyzwalanie warunku odmowy usługi (DoS). Cisco twierdzi, że nie wie o żadnych złośliwych atakach wykorzystujących luki w zabezpieczeniach. Więcej informacji na temat naprawionych błędów można znaleźć na stronie bezpieczeństwa produktów firmy tutaj.
I tu właściwie powinniśmy zakończyć ten tekst, ale pewnie część z Was, Drodzy Czytelnicy, zastanawia się, co robią serwery na obrazku ilustrującym ten artykuł, skoro piszemy o routerach? Otóż uczymy się od najlepszych. Wiemy i nawet ogłaszamy, że jest dziura logiczna w produkcie, jakim jest ten artykuł. Niemniej nie zauważamy wykorzystania jej w atakach, a obrazek i tak niedługo będzie „end-of-life”, więc czym się tu przejmować!