Αυτή τη στιγμή υπάρχουν περισσότερα από 19.000 end-of-life Cisco VPN router που είναι ευάλωτα σε αλυσιδωτές RCE (απομακρυσμένης εκτέλεσης εντολών) επιθέσεις.
Την περασμένη εβδομάδα αποκαλύφθηκαν δυο ευπάθειες.
Η (CVE-2023-20025) και η (CVE-2023-2002). Συνδυάζοντας αυτές τις δυο ευπάθειες, οι απειλητικοί παράγοντες μπορούν να παρακάμψουν το έλεγχο ταυτότητας και να εκτελέσουν «αυθαίρετες εντολές» στα λειτουργικά συστήματα των Cisco Small Business router – RV016, RV042, RV042G και RV082.
Δείτε επίσης: FanDuel: Προειδοποιεί για data breach μετά το MailChimp hack
Άτομα χωρίς την κατάλληλη εξουσιοδότηση μπορούν να αποκτήσουν root πρόσβαση στέλνοντας ειδικά κατασκευασμένα HTTP αιτήματα στο web-based interface διαχείρισης του router.
Η Ομάδα Αντιμετώπισης Περιστατικών Ασφαλείας Προϊόντων (PSIRT) της Cisco γνωρίζει ότι υπάρχει διαθέσιμος στο διαδίκτυο κώδικας εκμετάλλευσης proof-of-concept και έχει αξιολογήσει την ευπάθεια ως κρίσιμη.
Παρόλα αυτά, η εταιρεία δεν έχει κυκλοφορήσει και δεν πρόκειται να κυκλοφορήσει ενημερώσεις λογισμικού που να αντιμετωπίζουν αυτή την ευπάθεια.
Προς το παρόν, η Cisco δεν έχει βρει στοιχεία που να υποδηλώνει ότι αυτή η αλυσιδωτή εκμετάλλευση γίνεται αντικείμενο κατάχρησης σε επιθέσεις.
Ωστόσο, είναι ζωτικής σημασίας για τους χρήστες να λάβουν τα απαραίτητα μέτρα για τον μετριασμό της ευπάθειας.
Χιλιάδες router ευάλωτα σε RCE επιθέσεις
Τα αποτελέσματα αναζήτησης της Censys (μια πλατφόρμα αναζήτησης και ασφάλειας για συσκευές συνδεδεμένες στο Διαδίκτυο) δείχνουν ότι περίπου 20.000 router δείχνουν να είναι ευάλωτα σε αυτές τις επιθέσεις – εξετάζοντας μόνο τις υπηρεσίες HTTP που περιλαμβάνουν τους αριθμούς μοντέλων είτε στην επικεφαλίδα απάντησης ‘WWW-Authenticate’ είτε σε μια υπηρεσία HTTPS με αντίστοιχη οργανωτική μονάδα TLS.
Το μοντέλο RV042 είναι το πιο κοινό από τα τέσσερα ευάλωτα μοντέλα, με πάνω από 12.000 κομμάτια να είναι εκτεθειμένα. Τα μοντέλα RV082 και RV042 έχουν περίπου 3.500 router το καθένα, ενώ το μοντέλο RV016 έχει τα λιγότερα, με μόλις 784 εκτεθειμένα στο διαδίκτυο.
Δείτε επίσης: Riot Games: Παραβίαση καθυστερεί τις διορθώσεις παιχνιδιών
Παρόλο που η Cisco δεν θα παρέχει ενημερώσεις ασφαλείας και δεν υπάρχουν λύσεις για τη διόρθωση αυτών των ευπαθειών, οι χρήστες μπορούν να προστατεύσουν τις συσκευές τους από πιθανές επιθέσεις απενεργοποιώντας τη διεπαφή διαχείρισης μέσω διαδικτύου και αποκλείοντας την πρόσβαση στα ports 443 και 60443.
Τα επηρεαζόμενα router θα εξακολουθούν να είναι προσβάσιμοι και θα μπορούν να ρυθμιστούν μέσω της LAN διεπαφής.
Αυτή δεν είναι η πρώτη φορά που η Cisco αφήνει τα end-of-life router της χωρίς επιδιόρθωση.
Τον Σεπτέμβριο, η Cisco ανακοίνωσε ότι δεν θα διόρθωνε ένα κρίσιμο σφάλμα παράκαμψης του “auth” που επηρέαζε πολλά end-of-life router και συμβούλευσε τους χρήστες να στραφούν σε μοντέλα όπως RV132W, RV160 ή RV160W που βρίσκονταν ακόμη υπό support.
Τον Ιούνιο, τρείς μήνες νωρίτερα, η Cisco ενθάρρυνε και πάλι τους ιδιοκτήτες να μεταβούν σε νεότερα μοντέλα δρομολογητών μετά την αποκάλυψη μιας κρίσιμης ευπάθειας απομακρυσμένης εκτέλεσης κώδικα (RCE) σε μια άλλη σειρά end-of-life VPN router, η οποία επίσης δεν είχε επιδιορθωθεί.
Πηγή πληροφοριών: bleepingcomputer.com
