В сообщении по безопасности, опубликованном в среду, Cisco сообщила, что критическая уязвимость в сервисе Universal Plug-and-Play (UPnP) нескольких VPN-маршрутизаторов для малого бизнеса не будет исправлена, поскольку устройства достигли конца срока службы.
Ошибка нулевого дня (отслеживается как CVE-2021-34730 и имеет рейтинг серьезности 9,8 / 10) вызвана неправильной проверкой входящего UPnP-трафика, о чем сообщил Квентин Кайзер из IoT Inspector Research Lab.
Злоумышленники, не прошедшие проверку подлинности, могут использовать его для перезапуска уязвимых устройств или удаленного выполнения произвольного кода в качестве пользователя root в базовой операционной системе.
«Cisco не выпускала и не будет выпускать обновления программного обеспечения для устранения уязвимости, описанной в этом информационном сообщении», — говорится в сообщении компании .
«Маршрутизаторы Cisco Small Business RV110W, RV130, RV130W и RV215W вышли из эксплуатации».
Согласно объявлению на веб-сайте Cisco, последний день, когда эти маршрутизаторы серии RV были доступны для заказа, был 2 декабря 2019 года.
Компания просит клиентов, которые все еще используют эти модели маршрутизаторов, перейти на новые маршрутизаторы Cisco Small Business RV132W, RV160 или RV160W, которые все еще получают обновления безопасности.
Кроме того, Cisco заявляет, что ее группе реагирования на инциденты, связанные с безопасностью продуктов (PSIRT), не известно о каких-либо публичных экспериментальных эксплойтах для этого «нулевого дня» или о каких-либо злоумышленниках, использующих ошибку в «дикой природе».
Доступны меры по смягчению последствий
Ошибка затрагивает модели маршрутизаторов RV110W, RV130, RV130W и RV215W, ТОЛЬКО если включена служба UPnP.
Согласно Cisco, UPnP по умолчанию включен только для этих устройств на интерфейсах LAN (локальной сети) и отключен по умолчанию для всех интерфейсов WAN (глобальная сеть).
Затронутые модели маршрутизаторов не считаются уязвимыми, если служба отключена на интерфейсах LAN и WAN.
Хотя Cisco не планирует выпускать обновления безопасности для устранения этой критической уязвимости, администраторы могут удалить вектор атаки, чтобы заблокировать атаки, отключив службу UPnP на всех затронутых маршрутизаторах через свой веб-интерфейс управления.
«Чтобы определить, включена ли функция UPnP на LAN-интерфейсе устройства, откройте веб-интерфейс управления и перейдите в« Основные настройки »>« UPnP », — добавила Cisco. «Если флажок« Отключить »не установлен, на устройстве включен UPnP».
Нулевой день в ожидании патча
Две недели назад Cisco сообщила, что еще одна ошибка удаленного выполнения кода (RCE) в программе запуска Adaptive Security Device Manager (ADSM), обнаруженная в прошлом месяце, — это «нулевой день», на который еще не поступило обновление безопасности.
Компания также выпустила исправление для другой уязвимости нулевого дня (CVE-2020-3556) в программном обеспечении Cisco AnyConnect Secure Mobility Client VPN через шесть месяцев после первоначального раскрытия информации, хотя ей было известно об общедоступном экспериментальном коде эксплойта.
Несмотря на то, что Cisco не раскрыла причину задержки, исправление, вероятно, не было приоритетом, потому что не было никаких доказательств злоупотреблений, а конфигурации по умолчанию не были уязвимы для атак.
Хотя злоумышленники не воспользовались этими двумя недостатками, они набросились на ошибку Cisco ASA ( частично исправленную в октябре 2020 года и полностью исправленную в апреле 2021 года) сразу после публикации эксплойта PoC в Twitter .
Последнее обновление 05.01.2023
