top of page

Śledź nasze wpisy w social media

  • Instagram
  • Facebook
  • Twitter
  • LinkedIn
  • YouTube
Zdjęcie autoraPiotr Kośka

Cisco ostrzega przed krytyczną luką w zabezpieczeniach routerów, ale nie ma zamiaru jej łatać!



Cisco ogłosiło, że nie zostaną wydane żadne łaty usuwające lukę w zabezpieczeniach, podkreślmy, o krytycznym znaczeniu, która ma wpływ na routery RV016, RV042, RV042G i RV082 dla małych firm. Oczywiście dotyczy to urządzeń, które osiągnęły koniec okresu eksploatacji (EOL).


Wada bezpieczeństwa, śledzona jako CVE-2023-20025 (wynik CVSS 9,0), wpływa na internetowy interfejs zarządzania routerów i może zostać wykorzystana do obejścia uwierzytelniania.


Problem istnieje, ponieważ dane wprowadzane przez użytkownika w przychodzących pakietach HTTP nie są odpowiednio sprawdzane, co pozwala atakującemu na wysyłanie spreparowanych żądań HTTP do routera, ominięcie uwierzytelniania i uzyskanie uprawnień administratora do systemu operacyjnego.


„Cisco nie wydało i nie wyda aktualizacji oprogramowania usuwających tę lukę. Nie ma obejść, które eliminowałyby tę lukę” — zauważa beztrosko firma w swoim poradniku.

Gigant technologiczny ostrzegł również przed poważnym błędem w internetowym interfejsie zarządzania tych samych routerów, mogącym prowadzić do zdalnego wykonania poleceń. Luka śledzona jako CVE-2023-20026 wymaga uwierzytelnienia osoby atakującej.


Aby złagodzić te luki, administratorzy mogą wyłączyć zdalne zarządzanie na zagrożonych urządzeniach i zablokować dostęp do portów 443 i 60443.


Producent ostrzega, że kod exploita dla tej podatności jest publicznie dostępny, ale twierdzi, że nie ma informacji o złośliwych atakach wykorzystujących tę lukę. Zagrożenie jest jednak spore, bo cyberprzestępcy często atakują routery RV Cisco przeznaczone dla małych i średnich firm.


Źródło:


28 wyświetleń0 komentarzy

Ostatnie posty

Zobacz wszystkie

Comments


Śledź nasze wpisy w social media

  • Instagram
  • Facebook
  • Twitter
  • LinkedIn
  • YouTube

Poznaj terraform jedno z najepszych narzedzi do zarządzania infrastrukturą w kodzie (IaC) - w kursie tym przeprowadzam Cię przez proces instalacji i konfiguracji tego narzędzia.

bottom of page