Cisco исправляет критические ошибки в маршрутизаторах SMB, доступны эксплойты

Cisco призывает администраторов исправить нулевой день IOS XR, используемый в атаках

Cisco выпустила исправления для многочисленных уязвимостей в платформе маршрутизаторов Small Business RV Series, которые могут позволить удаленным злоумышленникам получить полный контроль над устройством, во многих случаях без аутентификации.

В общей сложности эти обновления безопасности исправляют пятнадцать уязвимостей, пять из которых оцениваются как критические, поскольку злоумышленники могут использовать их для получения привилегий root или удаленного выполнения команд на устройстве.

Согласно бюллетеню, злоумышленник, использующий эти уязвимости, может выполнять произвольный код, повышать привилегии, запускать команды, обходить защиту аутентификации, извлекать и запускать неподписанное программное обеспечение и вызывать состояние отказа в обслуживании (DoS).

Многочисленные критические недостатки

В бюллетене Cisco отмечается, что многочисленные уязвимости безопасности были классифицированы как «критические» из-за простоты использования и возможности злоупотреблений.

Наиболее значительными уязвимостями с точки зрения их серьезности являются:

CVE-2022-20699 : Недостаток выполнения кода в модуле SSL VPN, вызванный недостаточной проверкой границ при обработке определенных HTTP-запросов. (оценка CVSS v3 10,0)

CVE-2022-20700  и  CVE-2022-20701 : уязвимости повышения привилегий (до root) в веб-интерфейсе управления маршрутизатора, который страдает от недостаточных механизмов принудительной авторизации. (оценка CVSS v3 10,0 и 9,0 соответственно)

CVE-2022-20703 : Уязвимость обхода проверки подписи в функции проверки образа программного обеспечения, полагающаяся на неправильную проверку образов программного обеспечения, установленных на уязвимом устройстве. (оценка CVSS v3 9,3)

CVE-2022-20708 : Недостаток внедрения команд в веб-интерфейс управления маршрутизаторами, который страдает от недостаточной проверки введенных пользователем данных. (оценка CVSS v3 10,0)

Cisco предупреждает, что некоторые из этих уязвимостей необходимо связать вместе, чтобы использовать маршрутизатор серии RV.

«Некоторые уязвимости зависят друг от друга. Эксплуатация одной уязвимости может потребоваться для использования другой уязвимости», — поясняется в информационном  бюллетене Cisco.

Отслежены уязвимости CVE-2022-20700, CVE-2022-20701, CVE-2022-20702, CVE-2022-20703, CVE-2022-20704, CVE-2022-20705, CVE-2022-20706, CVE-2022-20710. и CVE-2022-20712 влияют на:

  • VPN-маршрутизаторы RV160
  • VPN-маршрутизаторы Wireless-AC RV160W
  • VPN-маршрутизаторы RV260
  • VPN-маршрутизаторы RV260P с PoE
  • VPN-маршрутизаторы Wireless-AC RV260W
  • Гигабитные VPN-маршрутизаторы RV340 с двумя глобальными сетями
  • RV340W Dual WAN Gigabit Wireless-AC VPN-маршрутизаторы
  • Гигабитные VPN-маршрутизаторы RV345 с двумя глобальными сетями
  • RV345P Dual WAN Gigabit POE VPN-маршрутизаторы

Уязвимости CVE-2022-20699, CVE-2022-20707, CVE-2022-20708, CVE-2022-20709, CVE-2022-20711 и CVE-2022-20749 затрагивают только следующие продукты Cisco:

  • Гигабитные VPN-маршрутизаторы RV340 с двумя глобальными сетями
  • RV340W Dual WAN Gigabit Wireless-AC VPN-маршрутизаторы
  • Гигабитные VPN-маршрутизаторы RV345 с двумя глобальными сетями
  • RV345P Dual WAN Gigabit POE VPN-маршрутизаторы

Даже если ваш продукт не подвержен каким-либо критическим уязвимостям, всегда есть шанс, что злоумышленники объединят несколько менее серьезных уязвимостей для проведения мощных атак.

Если вы используете какой-либо из перечисленных выше продуктов, настоятельно рекомендуется установить обновления для системы безопасности как можно скорее.

Доступны PoC-эксплойты

Группа реагирования на инциденты, связанные с безопасностью продукта (PSIRT) Cisco заявляет, что им известно о проверенном коде эксплойта, доступном для нескольких уязвимостей, исправленных в этих обновлениях.

Уязвимость CVE-2022-20699 была обнаружена и использована командой FlashBack во время хакерского конкурса Pwn2Own Austin 2021.

Педро Рибейро из FlashBack   говорит, что они продемонстрируют эксплойт и выпустят общедоступный PoC в рамках своего выступления на OffensiveCon 2022 под названием «Pwn2Own’ing Your Router Over the Internet».

Неизвестно, какие PoC-эксплойты доступны для других уязвимостей, однако после выпуска обновлений безопасности эти PoC, как правило, довольно быстро становятся общедоступными.

Как только они становятся общедоступными, злоумышленники быстро используют их в атаках, поэтому важно как можно скорее обновить все маршрутизаторы RV.

Последнее обновление 27.06.2022