15 января 2021
476

Более 70 уязвимостей останутся актуальными в маршрутизаторах EOL Cisco

В Cisco объявили, что не планирует устранять десятки уязвимостей, затрагивающих некоторые из её маршрутизаторов, созданных для малого бизнеса.

В маршрутизаторах Cisco Small Business из модельного ряда RV, а именно: RV110W, RV130, RV130W и RV215W было выявлено в общей сложности 68 серьёзных уязвимостей информационной безопасности. На этой неделе Cisco объявили , что патчи не будут выпущены, поскольку эти устройства достигли своего предельного срока службы (EOL). Последний день для выпуска обновлений программного обеспечения и исправления ошибок пришёлся на 1 декабря 2020 года.

Данные уязвимости безопасности существуют из-за того, что пользовательский ввод в веб-интерфейс управления уязвимой серией маршрутизаторов не проверен должным образом, что позволяет злоумышленнику отправлять HTTP-запросы для эксплуатации этих проблем.

Злоумышленник способен выполнить произвольный код с правами суперпользователя в базовой операционной системе. Однако положительным фактором является то, что для эксплуатации требуются актуальные учетные данные администратора.

Cisco описал 63 недостатка и также сообщил, что злоумышленник также может перезапустить пораженное устройства, что приведет к состоянию отказа в обслуживании (DoS).

Веб-интерфейс управления на этих устройствах может быть доступен либо из локальной сети, либо через WAN-соединение при условии, что включено удаленное управление. Однако функция удаленного управления по умолчанию отключена на этих устройствах.

Остальные же восемь других уязвимостей, которые останутся незащищенными в той же серии маршрутизаторов малого бизнеса, оценены как средней степени тяжести. Эти ошибки могут быть использованы аутентифицированными удаленными злоумышленниками для запуска межсайтовых скриптовых атак (XSS) или доступа к конфиденциальной информации на основе браузера.

Читайте также
Женщина лишилась нескольких сотен тысяч рублей под влиянием телефонных мошенников
18 марта 2024
Вымогатели объединились для мощнейшего удара по всему миру
6 марта 2024
Фишинга становится больше, несмотря на борьбу
14 марта 2024