Cisco ostrzega, że nie naprawi krytycznych błędów w starszych routerach dla małych firm

Cisco „nie wydało i nie wyda aktualizacji oprogramowania”, aby rozwiązać problem krytycznej luki w czterech routerach dla małych firm, pomimo tego, że zauważyło kod proof of concept dla eksploitów.

Gigant sieciowy poinformował, że jego routery RV016, RV042, RV042G i RV082 są narażone na lukę CVE-2023-20025 – krytyczną lukę w zabezpieczeniach przed ominięciem uwierzytelniania — jak również na lukę CVE-2023-20026 o średniej sile rażenia, która dotyczy zdalnego wykonywania poleceń.

CVE-2023-20025 może pozwolić nieuwierzytelnionemu zdalnemu atakującemu na obejście uwierzytelnienia na podatnym urządzeniu, dzięki niewłaściwej walidacji danych wejściowych użytkownika w przychodzących pakietach HTTP.

„Napastnik mógłby wykorzystać tę lukę wysyłając spreparowane żądanie HTTP do webowego interfejsu zarządzania. Udany exploit mógłby pozwolić napastnikowi na ominięcie uwierzytelnienia i uzyskanie dostępu root w bazowym systemie operacyjnym” – czytamy w ostrzeżeniu Cisco.

CVE-2023-20026 to również problem z walidacją HTTP, ale może zostać uruchomiony tylko wtedy, gdy atakujący posiada ważne dane administracyjne dla zaatakowanego urządzenia.

Cisco nie będzie aktualizować urządzeń, z dwóch powodów. Jednym z nich jest to, że wyłączenie zdalnego zarządzania i zablokowanie dostępu do portów 443 i 60443 jest działaniem, które uniemożliwia wykorzystanie dziur. Drugim jest fakt, że urządzenia osiągnęły koniec życia. Cisco zakończył wsparcie dla RV082 i RV016 w 2021 roku, a utrzymanie oprogramowania zakończyło się dla RV042 i RV042G w tym samym roku — ale sprzęt będzie wspierany do 2025 roku.

A teraz najtrudniejsza część: Cisco jest „świadome, że dostępny jest kod exploitów proof-of-concept dla luk opisanych w tej informacji”, ale „nie jest świadome żadnego złośliwego wykorzystania luk opisanych w tej informacji”.

Biorąc jednak pod uwagę, że przestępcy rutynowo polują na łatwe do zaatakowania platformy, z pewnością nie minie wiele czasu, zanim ktoś spróbuje wykorzystać te luki. Eksperci ds. bezpieczeństwa często mówią, że małe firmy nie są znane ze swoich zdolności i staranności w zakresie bezpieczeństwa informacji. Tak więc, podczas gdy poprawka jest stosunkowo trywialna dla użytkownika technicznego, wielu rzeczywistych właścicieli tych maszyn nie będzie miało pojęcia, jak zablokować dostęp do portów 443 i 60443. To znaczy, jeśli w ogóle otrzymają wiadomość o tych błędach.

Dorzućmy do tego fakt, że małe routery często po prostu pracują przez lata bez interwencji i jest niemal pewne, że niektóre z tych urządzeń są wręcz gotowe do tego by zostać zaatakowane – i będą w niedalekiej przyszłości.