Cisco исправила опасные уязвимости в VPN-маршрутизаторах для малого бизнеса

На этой неделе компания Cisco выпустила исправления для высокоопасных уязвимостей в своих VPN-маршрутизаторах для малого бизнеса.

Первая исправленная уязвимость (CVE-2021-1609) получила по шкале оценивания опасности CVSS 9,8 балла из максимальных 10 и является критической. Проблема затрагивает web-интерфейс моделей маршрутизаторов RV340, RV340W, RV345 и RV345P и существует из-за отсутствия надлежащей проверки HTTP-запросов.

Для эксплуатации уязвимости удаленный неавторизованный злоумышленник должен отправить на уязвимое устройство особым образом сконфигурированный HTTP-запрос, что позволит ему выполнить произвольный код или вызвать отказ в обслуживании (DoS).

Дело в том, что web-интерфейс управления маршрутизаторами локально доступен по умолчанию и не может быть отключен. Хотя он не включен по умолчанию для удаленного управления, как показывают запросы BinaryEdge, в настоящее время удаленно доступны 8,85 тыс. устройств.

Вторая исправленная уязвимость (CVE-2021-1610) затрагивает те же модели маршрутизаторов, что и первая. С ее помощью злоумышленник может выполнить произвольные команды с привилегиями суперпользователя. Хотя процесс ее эксплуатации такой же, как и у первой, для успешной атаки требуется авторизация. В связи с этим уязвимость является не критической, а опасной.

Обе уязвимости могут быть проэксплуатированы независимо друг от друга. Производитель исправил их обеих. В настоящее время никаких данных об использовании данных уязвимостей в реальных хакерских атаках не поступало.

Организации, использующие маршрутизаторы Cisco Small Business VPN, интерфейс которых доступен извне, могут устранить уязвимости путем установки обновлений. Если в данный момент развертывание патчей невозможно, рекомендуется отключить опцию удаленного управления до тех пор, пока не будут установлены обновления.