Спецпроекты

В оборудовании Cisco найден критический баг, который не будут исправлять

Компания Cisco объявила об обнаружении новой критической уязвимости в роутерах для малого бизнеса серии Soho. Исправлений для нее выпускаться не будет, поскольку срок службы оборудования закончился еще два года назад.

Неисправимо переполненный буфер

У трех моделях роутеров для малого бизнеса Cisco Soho, а также в VPN-файерволле того же производителя обнаружена критическая уязвимость, допускающая перехват контроля над оборудованием. Однако она не будет исправлена.

Уязвимость выявлена в известных (в том числе обилием проблем) роутерах RV110W, RV130 и RV215W, а также в аппаратном файерволле RV130W.

Баг относится к «классической» разновидности ошибок — переполнение буфера. Причина — некорректная валидация пользовательского ввода в веб-интерфейсе, что позволяет записывать данные за пределами выделенной области памяти.

Злоумышленник может сформировать специализированный HTTP-запрос и обеспечить, в том числе, запуск произвольного кода в контексте операционной системы устройства.

tsiska600.jpg
В устаревшем оборудовании Cisco обнаружен серьезный баг, который не будет исправлен

Это уже не первый подобный баг, выявленный в маршрутизаторах Soho. В 2019 г. аналогичная ошибка (CVE-2019-1663) была обнаружена в этих же устройствах; по мнению экспертов компании PenTestPartners, причина заключалась в том, что авторы прошивок к роутерам использовали «небезопасные» функции языка программирования C.

Больше не поддерживаем

Cisco полностью сняла с поддержки перечисленные модели роутеров и файерволлов 1 декабря 2020 г. Их жизненный цикл закончился еще в 2017-2018 гг., однако некоторая часть организаций продолжала платить Cisco за сохранение поддержки и выпуск обновлений еще в течение двух с лишним лет.

В новом бюллетене безопасности Cisco еще раз подтвердила, что выпускать обновлений к новообнаруженной уязвимости не планируется. Единственное, что компания предлагает компаниям, продолжающим использовать данное оборудование, это сменить его на более новые модели.

«Других способов обезопасить себя нет. Еще в начале года вышел бюллетень Cisco, в котором говорилось, что общее количество уязвимостей, обнаруженных в этом сетевом оборудовании идет на десятки, а исправлений к ним уже не будет, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — При этом пользовательская база этих устройств, по-видимому, остается довольно внушительной, иначе бы напоминаний сменить их на более новые не публиковалось. Сетевое оборудование в принципе очень инерционно в плане сроков своей эксплуатации, вне зависимости от того, сколько в его прошивках уязвимостей. К сожалению, это играет против конечных пользователей: уязвимые роутеры — отличная точка входа для злоумышленников».

Учитывая, что опубликованы технические подробности о новой уязвимости, можно ожидать скорых попыток ее эксплуатации.