Cisco bugün müşterilerini, çoklu kullanım ömrü sonu (EoL) VPN yönlendiricilerini etkileyen genel istismar koduyla kritik bir kimlik doğrulama atlama güvenlik açığı konusunda uyardı.
Güvenlik açığı (CVE-2023-20025), Qihoo 360 Netlab’dan Hou Liuyang tarafından Cisco Small Business RV016, RV042, RV042G ve RV082 yönlendiricilerinin web tabanlı yönetim arayüzünde bulundu.
Gelen HTTP paketlerinde kullanıcı girişinin uygun olmayan şekilde doğrulanmasından kaynaklanır. Kimliği doğrulanmamış saldırganlar, güvenlik açığı bulunan yönlendiricilerin web tabanlı yönetim arayüzüne kimlik doğrulamasını atlamak için özel olarak hazırlanmış bir HTTP isteği göndererek uzaktan istismar edebilir.
Başarılı bir şekilde yararlanma, kök erişim elde etmelerini sağlar. CVE-2023-2002 (bugün Cisco tarafından da açıklandı) olarak izlenen başka bir güvenlik açığıyla zincirleme yaparak, temeldeki işletim sisteminde keyfi komutlar çalıştırabilirler.
Cisco, bunu kritik öneme sahip bir hata olarak değerlendirmesine ve Ürün Güvenliği Olay Müdahale Ekibi (PSIRT) ekibinin, vahşi ortamda bulunan kavram kanıtı istismar kodunun farkında olduğunu söylemesine rağmen, “yazılım güncellemelerini yayınlamadığını ve yayınlamayacağını” belirtti. bu güvenlik açığını giderin.”
Neyse ki Cisco PSIRT, güvenlik açığının saldırılarda kötüye kullanıldığını gösteren hiçbir kanıt bulamadı.
Saldırıları engellemek için yönetim arayüzünü devre dışı bırakın
RV016 ve RV082 WAN VPN yönlendiricileri en son Ocak ve Mayıs 2016’da satışa çıkarken, RV042 ve RV042G VPN yönlendiricilerinin siparişe sunulduğu son gün 30 Ocak 2020 idi ve 31 Ocak 2025’e kadar desteklenmeye devam edecek.
Bu güvenlik açığını gidermek için herhangi bir geçici çözüm bulunmasa da, yöneticiler güvenlik açığı bulunan yönlendiricilerin web tabanlı yönetim arabirimini devre dışı bırakabilir ve istismar girişimlerini engellemek için 443 ve 60443 numaralı bağlantı noktalarına erişimi engelleyebilir.
Bunu yapmak için, her cihazın web tabanlı yönetim arayüzünde oturum açmanız, Güvenlik Duvarı > Genel’e gitmeniz ve Uzaktan Yönetim onay kutusunun işaretini kaldırmanız gerekir.
Bugün yayınlanan güvenlik danışma belgesinde Cisco ayrıca 443 ve 60443 numaralı bağlantı noktalarına erişimi engellemek için ayrıntılı adımlar sağlar.
Etkilenen yönlendiricilere yine erişilebilir olacak ve yukarıdaki hafifletme uygulandıktan sonra LAN arabirimi aracılığıyla yapılandırılabilecektir.
Eylül ayında şirket, RV110W, RV130, RV130W ve RV215W EoL yönlendiricilerini etkileyen kritik bir kimlik doğrulama bypass kusurunu düzeltmeyeceğini söyleyerek onları destek altındaki RV132W, RV160 veya RV160W yönlendiricilerine geçmeye teşvik etti.
Haziran ayında Cisco, yine yama uygulanmadan bırakılan kritik bir uzaktan kod yürütme (RCE) güvenlik açığını (CVE-2022-20825) ifşa ettikten sonra sahiplerine daha yeni yönlendirici modellerine geçmelerini tavsiye etti.