Menu dostępności

krytyczna luka w routerach Cisco nie otrzymała łatki

Cisco ostrzega przed krytyczną luką w zabezpieczeniach routerów, ale nie ma zamiaru jej łatać!

Nie tak dawno, bo w sierpniu 2021 roku, pisaliśmy o tym, że krytyczna luka w routerach Cisco nie otrzymała łatki. Użyliśmy wtedy tego samego obrazka do zilustrowania posta – można go zobaczyć tutaj.

Jak widać, producent kontynuuje tę politykę, ponieważ w zeszłym tygodniu Cisco ogłosiło, że nie zostaną wydane żadne łaty usuwające lukę w zabezpieczeniach, podkreślmy, o krytycznym znaczeniu, która ma wpływ na routery RV016, RV042, RV042G i RV082 dla małych firm. Oczywiście dotyczy to urządzeń, które osiągnęły koniec okresu eksploatacji (EOL).

Wada bezpieczeństwa, śledzona jako CVE-2023-20025 (wynik CVSS 9,0), wpływa na internetowy interfejs zarządzania routerów i może zostać wykorzystana do obejścia uwierzytelniania.

Problem istnieje, ponieważ dane wprowadzane przez użytkownika w przychodzących pakietach HTTP nie są odpowiednio sprawdzane, co pozwala atakującemu na wysyłanie spreparowanych żądań HTTP do routera, ominięcie uwierzytelniania i uzyskanie uprawnień administratora do systemu operacyjnego.

„Cisco nie wydało i nie wyda aktualizacji oprogramowania usuwających tę lukę. Nie ma obejść, które eliminowałyby tę lukę” — zauważa beztrosko firma w swoim poradniku.

Gigant technologiczny ostrzegł również przed poważnym błędem w internetowym interfejsie zarządzania tych samych routerów, mogącym prowadzić do zdalnego wykonania poleceń. Luka śledzona jako CVE-2023-20026 wymaga uwierzytelnienia osoby atakującej.

Aby złagodzić te luki, administratorzy mogą wyłączyć zdalne zarządzanie na zagrożonych urządzeniach i zablokować dostęp do portów 443 i 60443.

Producent ostrzega, że kod exploita dla tej podatności jest publicznie dostępny, ale twierdzi, że nie ma informacji o złośliwych atakach wykorzystujących tę lukę. Zagrożenie jest jednak spore, bo cyberprzestępcy często atakują routery RV Cisco przeznaczone dla małych i średnich firm.

Dodatkowo w zeszłym tygodniu Cisco ogłosiło poprawki dotyczące luk w zabezpieczeniach telefonów IP Phone z serii 7800 i 8800, Industrial Network Director (IND) oraz platform BroadWorks Application Delivery i BroadWorks Xtended Services. Problemem jest tutaj niewystarczająca weryfikacja danych wprowadzonych przez użytkownika w internetowym interfejsie zarządzania telefonów IP Phone z serii 7800 i 8800, która może umożliwić zdalnemu atakującemu obejście uwierzytelniania.

Problem bezpieczeństwa w IND „istnieje, ponieważ statyczna wartość klucza przechowywana w aplikacji może być używana do szyfrowania danych aplikacji i zdalnych poświadczeń” i może zostać wykorzystana do odszyfrowania danych i uzyskania dostępu do zdalnych systemów monitorowanych przez IND.

Platformy BroadWorks są dotknięte błędem sprawdzania poprawności danych wejściowych, który umożliwia atakującym wysyłanie spreparowanych żądań HTTP i wyzwalanie warunku odmowy usługi (DoS). Cisco twierdzi, że nie wie o żadnych złośliwych atakach wykorzystujących luki w zabezpieczeniach. Więcej informacji na temat naprawionych błędów można znaleźć na stronie bezpieczeństwa produktów firmy tutaj.

I tu właściwie powinniśmy zakończyć ten tekst, ale pewnie część z Was, Drodzy Czytelnicy, zastanawia się, co robią serwery na obrazku ilustrującym ten artykuł, skoro piszemy o routerach? Otóż uczymy się od najlepszych. Wiemy i nawet ogłaszamy, że jest dziura logiczna w produkcie, jakim jest ten artykuł. Niemniej nie zauważamy wykorzystania jej w atakach, a obrazek i tak niedługo będzie „end-of-life”, więc czym się tu przejmować!

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...