Cisco Small Business RV110W, RV130, RV130W ve RV215W Yönlendiricilerinin IPSec VPN Sunucusu kimlik doğrulama işlevinde (CVE-2022-20923) olarak izlenen güvenlik açığı, cihazlar kullanım ömrünün sonuna (EoL) ulaştığından yama uygulanmayacaktır.
Cisco tarafından yayınlanan güvenlik tavsiyesine göre, “Kimliği doğrulanmamış, uzak bir saldırganın kimlik doğrulama kontrollerini atlamasına ve IPSec VPN ağına erişmesine izin veriyor”.
Güvenlik açığı, parola doğrulama algoritmasının yanlış uygulanmasından kaynaklanmaktadır. Böylece bir saldırgan, etkilenen bir cihazdan VPN’de “hazırlanmış kimlik bilgileri” ile oturum açarak bu güvenlik açığından yararlanabilir.
Bu durumda, saldırganlar, kullanılan hazırlanmış kimlik bilgilerine bağlı olarak, bir yönetici kullanıcıyla aynı düzeyde ayrıcalıklar elde eder.
Cisco, bu güvenlik açığını gideren yamalar yayınlamamıştır. Bu güvenlik açığını gideren bir geçici çözüm yoktur.
Etkilenen Ürünler
Bu güvenlik açığı, IPSec VPN Sunucusu özelliği etkinleştirilmişse Cisco Small Business RV Serisi Yönlendiricileri etkiler:
- RV110W Kablosuz-N VPN Güvenlik Duvarı
- RV130 VPN Yönlendirici
- RV130W Kablosuz-N Çok İşlevli VPN Yönlendirici
- RV215W Kablosuz-N VPN Yönlendirici
Web tabanlı yönetim arayüzünde oturum açın ve IPSec VPN Sunucusu özelliğinin bir cihazda yapılandırılıp yapılandırılmadığını öğrenmek için VPN > IPSec VPN Sunucusu > Kurulum’u seçin.
Daha Yeni Yönlendirici Modellerine Yükseltin
“Cisco, bu danışma belgesinde açıklanan güvenlik açığını gidermek için yazılım güncellemeleri yayınlamadı ve yayınlamayacaktır”.
Şirket, “Cisco Small Business RV110W, RV130, RV130W ve RV215W Router’lar kullanım ömrü sonu sürecine girdi” dedi.
Cisco, Cisco Small Business RV132W, RV160 veya RV160W Yönlendiricilerine geçiş yapılmasını önerir. Ayrıca, açıklığı ve eksiksiz bir yükseltme çözümünü belirlemek için düzenli olarak Cisco Güvenlik Önerileri sayfasında bulunan Cisco ürünlerine yönelik önerilere bakın. Özellikle, CVE-2022-20923, Cisco’nun son yıllarda yama uygulamadan bıraktığı bu EoL yönlendirici modellerini etkileyen ilk ciddi güvenlik açığı değil.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap