То, что мертво, умереть не может: Cisco отказалась исправлять 0-day уязвимость в роутерах с истекшим сроком эксплуатации

Cisco заявляет, что не будет исправлять 0-day уязвимость (CVE-2022-20923), вызванную неправильной работой алгоритма проверки паролей, которую могут использовать злоумышленники, чтобы получить доступ к сети VPN на нескольких уязвимых моделях роутеров с истекшим сроком эксплуатации.

Как пояснила компания в официальном сообщении, если на роутере включена функция IPSec VPN Server, то злоумышленник может использовать CVE-2022-20923 для обхода авторизации и получения доступа к сети IPSec VPN с правами администратора, если использует нужный набор поддельных учетных данных.

Из хороших новостей –

Cisco Systems, Inc. — американская транснациональная компания, разрабатывающая и продающая сетевое оборудование. Стремится представить полный спектр сетевого оборудования, и таким образом предоставить возможность клиенту закупить абсолютно все необходимое сетевое оборудование.

Одна из крупнейших в мире компаний, специализирующихся в области высоких технологий. Изначально занималась только корпоративными маршрутизаторами.

Супружеская пара Леонард Босак (Leonard Bosack) и Сандра Лернер (Sandra Lerner) основала компанию Cisco Systems в 1984 году. Они работали в качестве обслуживающего компьютерного персонала в Стэнфордском университете.

В 1990 Босак и Лернер ушли из компании с $170 млн после того, как венчурные инвесторы ввели в состав правления профессиональных менеджеров.

» data-html=»true» data-original-title=»Cisco»>Cisco не обнаружила никаких доказательств существования эксплоитов для CVE-2022-20923 или группировок, использующих уязвимость в дикой природе.

Сейчас компания настоятельно рекомендует клиентам, использующим роутеры моделей RV110W, RV130, RV130W и RV215W, перейти на более новые модели, которые получают обновления безопасности.

Источник