В оборудовании Cisco найден критический баг, который не будут исправлять
Компания Cisco объявила об обнаружении новой критической уязвимости в роутерах для малого бизнеса серии Soho. Исправлений для нее выпускаться не будет, поскольку срок службы оборудования закончился еще два года назад
У трех моделях роутеров для малого бизнеса Cisco Soho, а также в VPN-файерволле того же производителя обнаружена критическая уязвимость, допускающая перехват контроля над оборудованием. Однако она не будет исправлена.
Уязвимость выявлена в известных (в том числе обилием проблем) роутерах RV110W, RV130 и RV215W, а также в аппаратном файерволле RV130W.
Баг относится к «классической» разновидности ошибок — переполнение буфера. Причина — некорректная валидация пользовательского ввода в веб-интерфейсе, что позволяет записывать данные за пределами выделенной области памяти.
Злоумышленник может сформировать специализированный HTTP-запрос и обеспечить, в том числе, запуск произвольного кода в контексте операционной системы устройства.
Это уже не первый подобный баг, выявленный в маршрутизаторах Soho. В 2019 г. аналогичная ошибка (CVE-2019-1663) была обнаружена в этих же устройствах; по мнению экспертов компании PenTestPartners, причина заключалась в том, что авторы прошивок к роутерам использовали «небезопасные» функции языка программирования C.
Больше не поддерживаем
Cisco полностью сняла с поддержки перечисленные модели роутеров и файерволлов 1 декабря 2020 г. Их жизненный цикл закончился еще в 2017-2018 гг., однако некоторая часть организаций продолжала платить Cisco за сохранение поддержки и выпуск обновлений еще в течение двух с лишним лет.
В новом бюллетене безопасности Cisco еще раз подтвердила, что выпускать обновлений к новообнаруженной уязвимости не планируется. Единственное, что компания предлагает компаниям, продолжающим использовать данное оборудование, это сменить его на более новые модели.
«Других способов обезопасить себя нет. Еще в начале года вышел бюллетень Cisco, в котором говорилось, что общее количество уязвимостей, обнаруженных в этом сетевом оборудовании идет на десятки, а исправлений к ним уже не будет, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — При этом пользовательская база этих устройств, по-видимому, остается довольно внушительной, иначе бы напоминаний сменить их на более новые не публиковалось. Сетевое оборудование в принципе очень инерционно в плане сроков своей эксплуатации, вне зависимости от того, сколько в его прошивках уязвимостей. К сожалению, это играет против конечных пользователей: уязвимые роутеры — отличная точка входа для злоумышленников».
Учитывая, что опубликованы технические подробности о новой уязвимости, можно ожидать скорых попыток ее эксплуатации.