Около 20 тысяч маршрутизаторов Cisco уязвимы для RCE-атак

• 23 января, 2023
• 18:30

Ранее мы писали о двух критических уязвимостях, которые компания Cisco Systems, Inc. — американская транснациональная компания, разрабатывающая и продающая сетевое оборудование. Стремится представить полный спектр сетевого оборудования, и таким образом предоставить возможность клиенту закупить абсолютно все необходимое сетевое оборудование.

Одна из крупнейших в мире компаний, специализирующихся в области высоких технологий. Изначально занималась только корпоративными маршрутизаторами.

» data-html=»true» data-original-title=»Cisco»>Cisco принципиально не хочет устранять. Речь об уязвимостях CVE-2023-20025 и CVE-2023-2002. Объединив их, злоумышленники могут обходить аутентификацию и выполнять произвольные команды в базовой операционной системе маршрутизаторов Cisco Small Business RV016, RV042, RV042G и RV082.

Cisco оценила CVE-2023-20025 как критическую и заявила, что ее группа реагирования на инциденты, связанные с безопасностью продукта (PSIRT), осведомлена о PoC (Proof-of-Concept) (доказательство концепции) — реализация метода и его демонстрация на практике, чтобы доказать, что концепция или теория работает.

» data-html=»true» data-original-title=»PoC»>PoC-Эксплойт (от англ. Exploit — означает «использовать что-то в своих интересах») — компьютерная программа, фрагмент программного кода или последовательность команд, которые используют ошибку или уязвимость для проведения атак на компьютерное ПО, аппаратное обеспечение или электронные устройства. Целью атаки является получение контроля над компьютерной системой, повышения привилегий или атака типа «отказ в обслуживании» (DoS или связанная с ней DDoS).
Эксплойты обычно классифицируются и называются по: типу уязвимости, которую они используют; являются ли они локальными или удаленными; а также результатом запуска эксплойта (например, EoP, DoS, спуфинг). Одной из схем, предлагающих эксплойты нулевого дня, является Exploit-as-a-Service.

» data-html=»true» data-original-title=»Эксплойт»>эксплойте, доступном «в дикой природе» (Эксплуатация уязвимости в дикой природе (in the wild, ITW) подразумевает её активное использовании злоумышленниками.
Когда кто-то демонстрирует, как можно воспользоваться уязвимостью, это называется эксплойтом.
Когда эксплойт широко публикуется в таких источниках, как сообщения в блогах, на форумах, в базе данных эксплойтов или в средах эксплуатации по типу metasploit, его обычно называют эксплойтом в дикой природе.

» data-html=»true» data-original-title=»ITW»>ITW).

Несмотря на это, компания также заявила, что не выпускала и не будет выпускать обновления программного обеспечения, устраняющие эту уязвимость. На данный момент Cisco не обнаружила доказательств того, что эта цепочка эксплойтов используется в реальных атаках.

После того, как стало известно, что вышеупомянутые модели останутся без патча безопасности, компания Censys — это платформа для сбора и анализа данных о состоянии Интернета. Она использует автоматизированные сканеры для сбора информации о протоколах, устройствах, приложениях и конфигурациях, которые используются на Интернете. Эти данные можно использовать для мониторинга безопасности, обнаружения уязвимостей и анализа трендов. Censys предоставляет API для программного доступа к данным и инструменты для визуализации и анализа данных.

» data-html=»true» data-original-title=»Censys»>Censys обнаружила в сети почти 20 тысяч уязвимых маршрутизаторов Cisco RV016, RV042, RV042G и RV082. Данные были получены во время анализа специалистами компании HTTP/HTTPS сервисов.

Карта маршрутизаторов, уязвимых к CVE-2023-20025

Несмотря на то, что эти маршрутизаторы больше не будут получать обновления безопасности, Cisco заявила, что пользователи по-прежнему могут защитить свои устройства от атак, отключив веб-интерфейс управления и заблокировав доступ к портам 443 и 60443.

Если вы сами являетесь владельцем одного из уязвимых роутеров, стоит сделать следующее:

1. Войти в веб-интерфейс управления маршрутизатора
2. Выбрать «Брандмауэр» → «Общие» и снять флажок с пункта «Удаленное управление».

А по этой инструкции было бы неплохо закрыть доступ к портам 443 и 60443.

Cisco также заявила, что не будет исправлять критическую ошибку обхода аутентификации, затрагивающую несколько старых моделей, и посоветовала пользователям переходить на маршрутизаторы RV132W, RV160 или RV160W, которые все ещё поддерживаются компанией.