Мы ежедневно публикуем обзор событий со всего мира на самые разнообразные тематики. Новости новых технологий и происшествий
Финансы

Cisco годами продавала по всему миру маршрутизаторы с критическими уязвимостями. Устранять их она наотрез отказалась

53

Cisco бросила пользователей на произвол судьбы

В маршрутизаторах RV016, RV042, RV042G и RV082 компании Cisco выявлены уязвимость критического уровня с индексом CVE-2023-20025. Как пишет The Register, сама Cisco осведомлена о проблеме, однако никаких действий для ее решения предпринимать не собирается.

Все четыре роутера ориентированы на компании малого и среднего бизнеса. Cisco официально заявила, что у нее и в мыслях нет выпускать патчи для устранения бреши, которая действительно может серьезно навредить работе компании, использующей один из перечисленных маршрутизаторов.

Причина до банальности проста. Она кроется в нежелании Cisco патчить морально устаревшие роутеры, снятые с производства и лишившиеся технической поддержки. Брешь была обнаружена экспертами по безопасности еще в октябре 2022 г., и нет данных, как долго она находилась в составе прошивок для RV016, RV042, RV042G и RV082.

Чем опасна CVE-2023-20025

Уязвимость получившая индекс CVE-2023-20025, скрывается в веб-интерфейсах перечисленных маршрутизаторов, то есть устранить ее можно было бы путем внесения небольших изменений в код прошивки с последующим распространением обновлений. Она связана с некорректной проверкой введенных данных во входящих HTTP-пакетах.

Cisco годами продавала по всему миру маршрутизаторы с критическими уязвимостями. Устранять их она наотрез отказалась

Счет моделей роутеров Cisco с критическими уязвимостями, которые никогда не увидят обновлений, может идти на десятки

Для хакеров CVE-2023-20025 открывает возможность «заспамить» уязвимые роутеры специальными запросами к их веб-интерфейсу и в итоге обойти аутентификацию, получив тем самым корневой доступ ко всем их настройкам.

Брешь CVE-2023-20025 упоминается в заявлении самой Cisco вместе с не менее опасной CVE-2023-2002. Эксплуатация обеих этих уязвимостей открывает перед хакерами широчайшие возможности запуска произвольных команд со всеми вытекающими последствиями.

Ситуацию усугубляет и тот факт, что код эксплуатации обеих уязвимостей в настоящее время находится в свободном доступе. Это значительно усложняет ситуацию для владельцев «дырявых» роутеров Cisco, но компания непреклонна в своем решении – никаких патчей ждать не стоит.

В попытке оправдать себя Cisco заявила, что в настоящее время в мире не зафиксировано ни единого случая эксплуатации обеих уязвимостей, как в паре, так и по отдельности. Однако нельзя исключать, что это может быть лишь временным явлением и затишьем перед бурей.

Против Cisco есть прием

Cisco не уточняет, чем именно она руководствуется, подвергая владельцев ее маршрутизаторов риску взлома, особенно с учетом того, что речь про роутеры для бизнес-пользователей. Вполне вероятно, это всего лишь попытка принудить компании принести ей еще немного денег за счет покупки новых моделей маршрутизаторов, срок поддержки которых тоже рано или поздно истечет.

Доклады, мозговой штурм и кейс-батл: как прошел слет группы Т1 Бизнес

Cisco годами продавала по всему миру маршрутизаторы с критическими уязвимостями. Устранять их она наотрез отказалась

На момент публикации материала у владельцев роутеров RV016, RV042, RV042G и RV082 есть лишь два пути. Первый – это покупка новых устройств, второй – отключение веб-интерфейса управления. Также необходимо заблокировать порты 443 и 60443. В совокупности оба эти действия лишат хакеров возможности CVE-2023-20025 как отдельно, так и в паре с CVE-2023-2002

Cisco верна себе

Решение Cisco не патчить роутеры, которые она сама же и продавала, выглядит весьма сомнительным с точки зрения морали. Однако сама компания, судя по всему, давно привыкла оставлять клиентов один на один против хакеров.

Для примера, не далее чем в сентябре 2022 г. произошла абсолютно аналогичная ситуация. Cisco отказалась выпускать обновления для роутеров RV110W, RV130, RV130W и RV215W, в которых нашлась брешь CVE-2022-20923. Воспользоваться ею злоумышленник сможет, если на пользовательском маршрутизаторе активирована функция IPSec VPN Server. Ее эксплуатация открывает широкий простор для «творчества». В частности, она позволяет обойти авторизацию и получить доступ к сети IPSec VPN с правами администратора.

Тогда Cisco тоже заявляла, что ни один хакер так и не воспользовался CVE-2022-20923. Решить проблему компания открыто предложила путем покупки нового роутера, притом обязательно с ее логотипом на корпусе.

Мобильное приложение как главная точка формирования клиентского опыта ПО

Cisco годами продавала по всему миру маршрутизаторы с критическими уязвимостями. Устранять их она наотрез отказалась

Август 2021 г. ознаменовался скандалом вокруг Cisco и ее нежелания обновлять ПО в роутерах RV110W, RV130, RV130W и RV215W для устранения «дыры» CVE-2021-34730, которая позволяет удаленно выполнять произвольный код от имени корневого пользователя. Годом позже в этих же роутерах нашлась еще одна брешь – CVE-2022-20825. Латать ее Cisco тоже не стала.

Никаких субсидий на покупку новых роутеров взамен старых и «дырявых» Cisco не предоставляет. И нет гарантии, что современные маршрутизаторы компании лишены уязвимостей. Добавим также, что компания приняла решение покинуть российский рынок.

Вам также могут понравиться Еще от автора