Cisco bu hafta, bazı küçük işletme yönlendiricilerini etkileyen onlarca güvenlik açığını gidermeyi planlamadığını duyurdu.
Cisco’nun Small Business RV110W, RV130, RV130W ve RV215W yönlendiricilerinde toplam 68 yüksek önem dereceli kusur tespit edildi, ancak şirket, bu cihazların kullanım ömrünün sonuna (EOL) ulaştığı için yamaların yayınlanmayacağını söylüyor. Yazılım bakım sürümleri ve hata düzeltmeleri için son gün 1 Aralık 2020 idi.
Güvenlik hataları, etkilenen yönlendirici serisinin web tabanlı yönetim arabirimine kullanıcı tarafından sağlanan girdinin düzgün şekilde doğrulanmaması ve dolayısıyla bir saldırganın bu sorunlardan yararlanmak için hazırlanmış HTTP istekleri göndermesine izin vermesi nedeniyle ortaya çıkar.
Bu güvenlik açıklarından başarıyla yararlanabilen bir saldırgan, temel alınan işletim sisteminde kök ayrıcalıklarına sahip rastgele kod yürütebilir. Bununla birlikte, hafifletici bir faktör, kötüye kullanım için geçerli yönetici kimlik bilgilerinin gerekli olmasıdır.
Teknoloji devi, bu kusurların 63’ünü detaylandıran bir danışma belgesinde , bir saldırganın etkilenen cihazları yeniden başlatmak için bunları kötüye kullanabileceğini ve bu da hizmet reddi (DoS) durumuna yol açabileceğini açıklıyor.
Cisco, bu cihazlardaki web tabanlı yönetim arayüzüne, uzaktan yönetimin etkinleştirilmesi koşuluyla LAN’dan veya bir WAN bağlantısı aracılığıyla erişilebileceğini belirtiyor. Ancak, bu cihazlarda uzaktan yönetim özelliği varsayılan olarak devre dışı bırakılmıştır.
“Cisco, açıklanan güvenlik açıklarını gidermek için yazılım güncellemelerini yayınlamadı ve yayınlamayacaktır […]. Cisco Small Business RV110W, RV130, RV130W ve RV215W Yönlendiriciler kullanım ömrü sonu sürecine girmiştir. Şirket, müşterilere bu ürünler için kullanım ömrü sonu bildirimlerine bakmaları tavsiye edilir ”dedi.
Aynı küçük işletme yönlendirici serisinde yamalanmadan kalan diğer sekiz güvenlik açığı orta düzeyde önemde olarak değerlendirildi. Bu hatalar, kimliği doğrulanmış, uzak saldırganlar tarafından siteler arası komut dosyası çalıştırma (XSS) saldırıları başlatmak veya hassas, tarayıcı tabanlı bilgilere erişmek için kötüye kullanılabilir.
Cisco’ya göre, bu güvenlik açıklarını gidermek için hiçbir geçici çözüm yoktur. Ancak şirket, güvenlik açıklarını hedef alan kamu yararlarının farkında olmadığını söylüyor.
Cisco bu hafta, kurumsal yazılım çözümlerindeki iki yüksek önem derecesi sorunu da dahil olmak üzere onlarca güvenlik açığı için yama yayınladı.
Bu kusurlardan en önemlisi, sistemdeki herhangi bir kullanıcı hesabının şifrelerini değiştirmek için kimliği doğrulanmış bir saldırgan tarafından kötüye kullanılabilen, Bağlı Mobil Deneyimlerdeki (CMX) yüksek önem derecesine sahip bir hata (CVSS puanı 8.8) olan CVE-2021-1144’tür. yönetici hesapları dahil.
Hata, parolaları değiştirmek için yetkilendirme kontrollerinin doğru şekilde işlenmemesi ve yönetici ayrıcalıklarına sahip olmasalar bile kimliği doğrulanmış bir saldırgan tarafından istismar edilmesini sağlaması nedeniyle ortaya çıkmaktadır. Saldırgan, savunmasız bir cihaza değiştirilmiş bir HTTP isteği göndererek bu hatayı kötüye kullanabilir.
Windows için AnyConnect Güvenli Mobilite İstemcisinde uç nokta çözümünün Ağ Erişim Yöneticisi ve Web Güvenlik Aracısı bileşenlerini etkileyen yüksek önem derecesine sahip başka bir kusur bulundu.
CVE-2021-1237 (CVSS puanı 7,8) olarak izlenen sorun, DLL enjeksiyonu için kimliği doğrulanmış, yerel bir saldırgan tarafından kötüye kullanılabilir. Hata, uygulamanın çalışma zamanında yüklediği kaynakların yeterince doğrulanmaması nedeniyle oluşur.
“Bir saldırgan, sistemdeki belirli bir yola bir yapılandırma dosyası ekleyerek bu güvenlik açığından yararlanabilir ve bu da uygulama başladığında kötü amaçlı bir DLL dosyasının yüklenmesine neden olabilir. Başarılı bir açıktan yararlanma, saldırganın etkilenen makinede SİSTEM ayrıcalıklarına sahip rastgele kod çalıştırmasına olanak verebilir, ”diye açıklıyor Cisco.
Teknoloji devi, bu güvenlik açıklarının her ikisini de gidermek için yazılım güncellemeleri yayınladı ve bunlardan herhangi birini hedef alan kamuya açık istismarların farkında olmadığını söylüyor.
Cisco ayrıca Webex, ASR 5000 yönlendiriciler, Windows için Proximity Masaüstü, Kurumsal NFV Altyapı Yazılımı (NFVIS), Finesse, Video Surveillance 8000 IP Kameralar, Firepower Management Center (FMC), DNA Center, Unified’da orta şiddette hataları detaylandıran 18 başka tavsiye yayınladı. İletişim ürünleri, CMX API yetkilendirmeleri ve AnyConnect Güvenli Mobilite İstemcisi.
Snort algılama motoruyla ilgili üç orta önem dereceli güvenlik açığının, Integrated Services Router (ISRs), Cloud Services Router 1000V, Firepower Threat Defense (FTD), Integrated Services Virtual Router (ISRv) dahil olmak üzere çok çeşitli Cisco ürünlerini etkilediği bulundu. ve birkaç Meraki ürün serisi.
Bu güvenlik açıklarıyla ilgili ayrıntılar, Cisco’nun güvenlik portalında yayınladığı tavsiyelerde bulunabilir .