Сразу в четырех популярных маршрутизаторах компании Cisco обнаружена опасная уязвимость, которая занесена в базы как CVE-2023-20025. Речь идет о моделях RV042G, RV082, RV016 и RV042, основная сфера использования – средний и малый бизнес. Представители Cisco официально подтвердили наличие проблемы, однако принимать меры для устранения компания пока не планирует. Объясняет она это тем, что устройства морально устарели и давно сняты с производства.
Уязвимость, обнаруженная в октябре 2022 года, относится к веб-интерфейсу. Это означает, что исправить ее можно при помощи стандартного пакета обновлений. Ошибка заключается в некорректной проверке данных, содержащихся в полученных HTTP-пакетах.
Эксплуатация CVE-2023-20025 позволяет злоумышленникам при помощи специальных запросов обойти систему аутентификации, получив полный доступ к настройкам. При этом специалисты Cisco ранее упоминали данную уязвимость в своем отчете, вместе с обнаруженным ранее багом CVE-2023-2002. Их совместное использование может позволить злоумышленникам не только получить полный контроль над сетевым устройством, но и запускать на нем произвольный код.
Это значительно расширяет масштабы возможных последствий. Более того, в сети давно опубликован детальный анализ обоих ошибок, а также код для ее эксплуатации. Но даже эти усугубляющие факторы не изменили позицию разработчика – работа над исправлением не ведется, несмотря на то, что устройства относятся к бизнес-сектору. Чем именно обусловлена такая позиция, компания не поясняет. Одна из наиболее очевидных причин – попытка принудить обладателей таких маршрутизаторов перейти на новые модели.
Специалисты в данной ситуации видят два решения. Первое – через настройки отключить веб-интерфейс, второй вариант – замена устройств. Также рекомендуется заблокировать порты 60443 и 443. Это сделает невозможной эксплуатации вышеупомянутых уязвимостей.
Стоит отметить, что Cisco ранее уже принимала такого рода решения, которые полностью игнорировали интересы клиентов. В сентябре 2022 года в пяти моделях была обнаружена уязвимость CVE-2022-20923, которая затрагивала модуль IPSec VPN Server. Если данная функция активирована в параметрах, злоумышленники имеют возможность обойти систему авторизации и получить полный доступ к IPSec VPN. Тогда представители компании также предложили для решения проблемы приобрести более современную модель.
В августе 2021года Cisco отказалась закрывать брешь CVE-2021-34730, которую обнаружили в 4 моделях роутеров. Уязвимость позволяет удаленно выполнять произвольный код с максимальными привилегиями. Во всех случаях никакой компенсации или скидки при замене устаревших моделей пользователи не получали. При этом нет гарантий, что аналогичные ошибки в дальнейшем не будут обнаружены и в прошивке новых устройств.