Cisco годами продавала по всему миру маршрутизаторы с критическими уязвимостями. Устранять их она наотрез отказалась
Четыре роутера Cisco для компаний малого и среднего бизнеса содержат крайне опасную уязвимость RV016, RV042, RV042G и RV082, открывающую хакерам широкий простор для действий. Устранять ее Cisco не намерена – роутеры давно лишись техподдержки. Решить проблему можно покупкой нового устройства или намеренным отказом от части функций в уже имеющемся.
Cisco бросила пользователей на произвол судьбы
В маршрутизаторах RV016, RV042, RV042G и RV082 компании Cisco выявлены уязвимость критического уровня с индексом CVE-2023-20025. Как пишет The Register, сама Cisco осведомлена о проблеме, однако никаких действий для ее решения предпринимать не собирается.
Все четыре роутера ориентированы на компании малого и среднего бизнеса. Cisco официально заявила, что у нее и в мыслях нет выпускать патчи для устранения бреши, которая действительно может серьезно навредить работе компании, использующей один из перечисленных маршрутизаторов.
Причина до банальности проста. Она кроется в нежелании Cisco патчить морально устаревшие роутеры, снятые с производства и лишившиеся технической поддержки. Брешь была обнаружена экспертами по безопасности еще в октябре 2022 г., и нет данных, как долго она находилась в составе прошивок для RV016, RV042, RV042G и RV082.
Чем опасна CVE-2023-20025
Уязвимость получившая индекс CVE-2023-20025, скрывается в веб-интерфейсах перечисленных маршрутизаторов, то есть устранить ее можно было бы путем внесения небольших изменений в код прошивки с последующим распространением обновлений. Она связана с некорректной проверкой введенных данных во входящих HTTP-пакетах.
Для хакеров CVE-2023-20025 открывает возможность «заспамить» уязвимые роутеры специальными запросами к их веб-интерфейсу и в итоге обойти аутентификацию, получив тем самым корневой доступ ко всем их настройкам.
Брешь CVE-2023-20025 упоминается в заявлении самой Cisco вместе с не менее опасной CVE-2023-2002. Эксплуатация обеих этих уязвимостей открывает перед хакерами широчайшие возможности запуска произвольных команд со всеми вытекающими последствиями.
Ситуацию усугубляет и тот факт, что код эксплуатации обеих уязвимостей в настоящее время находится в свободном доступе. Это значительно усложняет ситуацию для владельцев «дырявых» роутеров Cisco, но компания непреклонна в своем решении – никаких патчей ждать не стоит.
В попытке оправдать себя Cisco заявила, что в настоящее время в мире не зафиксировано ни единого случая эксплуатации обеих уязвимостей, как в паре, так и по отдельности. Однако нельзя исключать, что это может быть лишь временным явлением и затишьем перед бурей.
Против Cisco есть прием
Cisco не уточняет, чем именно она руководствуется, подвергая владельцев ее маршрутизаторов риску взлома, особенно с учетом того, что речь про роутеры для бизнес-пользователей. Вполне вероятно, это всего лишь попытка принудить компании принести ей еще немного денег за счет покупки новых моделей маршрутизаторов, срок поддержки которых тоже рано или поздно истечет.
На момент публикации материала у владельцев роутеров RV016, RV042, RV042G и RV082 есть лишь два пути. Первый – это покупка новых устройств, второй – отключение веб-интерфейса управления. Также необходимо заблокировать порты 443 и 60443. В совокупности оба эти действия лишат хакеров возможности CVE-2023-20025 как отдельно, так и в паре с CVE-2023-2002
Cisco верна себе
Решение Cisco не патчить роутеры, которые она сама же и продавала, выглядит весьма сомнительным с точки зрения морали. Однако сама компания, судя по всему, давно привыкла оставлять клиентов один на один против хакеров.
Для примера, не далее чем в сентябре 2022 г. произошла абсолютно аналогичная ситуация. Cisco отказалась выпускать обновления для роутеров RV110W, RV130, RV130W и RV215W, в которых нашлась брешь CVE-2022-20923. Воспользоваться ею злоумышленник сможет, если на пользовательском маршрутизаторе активирована функция IPSec VPN Server. Ее эксплуатация открывает широкий простор для «творчества». В частности, она позволяет обойти авторизацию и получить доступ к сети IPSec VPN с правами администратора.
Тогда Cisco тоже заявляла, что ни один хакер так и не воспользовался CVE-2022-20923. Решить проблему компания открыто предложила путем покупки нового роутера, притом обязательно с ее логотипом на корпусе.
Август 2021 г. ознаменовался скандалом вокруг Cisco и ее нежелания обновлять ПО в роутерах RV110W, RV130, RV130W и RV215W для устранения «дыры» CVE-2021-34730, которая позволяет удаленно выполнять произвольный код от имени корневого пользователя. Годом позже в этих же роутерах нашлась еще одна брешь – CVE-2022-20825. Латать ее Cisco тоже не стала.
Никаких субсидий на покупку новых роутеров взамен старых и «дырявых» Cisco не предоставляет. И нет гарантии, что современные маршрутизаторы компании лишены уязвимостей. Добавим также, что компания приняла решение покинуть российский рынок.