Cisco, Küçük İşletme serisi yönlendiricilerinden bazılarını etkileyen bir kritik (CVE-2023-20025) ve iki orta düzeyde (CVE-2023-20026, CVE-2023-20045) güvenlik açığını kabul etti, ancak güvenlik açığı olarak bunları düzeltmeyecek. cihazlar “ömür sonu sürecine girmiştir.”
CVE-2023-20025 ve CVE-2023-20026 için kavram kanıtı istismar kodu çevrimiçi olarak mevcuttur, ancak şu anda bu kusurlardan herhangi birinin saldırganlar tarafından istismar edildiğine dair bir gösterge yoktur.
Güvenlik açıkları hakkında
CVE-2023-20025 Cisco Small Business’ın web tabanlı yönetim arayüzündeki bir kimlik doğrulama atlama güvenlik açığıdır. RV016, RV042, RV042Gve RV082 VPN yönlendiricileri. CVE-2023-20026 aynı yönlendirici serisinin aynı bileşenindeki bir RCE’dir.
Cisco, güvenlik açıklarının birbirine bağlı olmadığını ve saldırganların bunları birlikte kullanması gerekmediğini söylüyor. Ancak, saldırganların önce kimlik doğrulaması yapabilmesini gerektiren bir uzaktan kod yürütme güvenlik açığıyla bir kimlik doğrulama bypass’ından yararlanmak çok kolay.
CVE-2023-20045 Cisco Small Business’ın web tabanlı yönetim arabirimindeki bir RCE hatasıdır RV160 ve RV260 Seri VPN yönlendiricileri ve ayrıca istismardan önce başarılı bir kimlik doğrulaması gerektirir (yani: saldırganın etkilenen cihazda geçerli Yönetici düzeyinde kimlik bilgilerine sahip olması gerekir). Bunun için halka açık bir PoC istismarı yok.
Düzeltme yok, ancak olası risk azaltma önlemleri var
Cisco, bu güvenlik açıklarından herhangi birini gidermek için “yazılım güncellemeleri yayınlamadı ve yayınlamayacak”. Tavsiyelerde belirtildiği gibi:
- RV082 ve RV016 zaten “modası geçmiş”
- RV042 ve RV042G, Ocak 2025’te desteklenmeyecek, ancak Ocak 2021’de bakım yayınlarını veya hata düzeltmelerini almayı durdurdu.
- RV 160 ve RV260 (ve RV345P, RV340W, RV260W, RV260P ve RV160W) Eylül 2026’da desteklenmeyecek ve Eylül 2022’de son yazılım yamalarını almış olacak.
Güvenlik açığı bulunan cihazlardan sorumlu yöneticiler, erişim kontrol listeleri / kuralları aracılığıyla web tabanlı yönetim arayüzlerini devre dışı bırakabilir ve 443 ve 60443 numaralı bağlantı noktalarına (ve kullanımdaki diğer bağlantı noktalarına) erişimi engelleyebilir.
RV160 ve RV260 cihazlarında, güvenlik açığı bulunan web tabanlı yönetim arabirimi, varsayılan olarak yerel LAN bağlantıları aracılığıyla kullanılabilir ve WAN arabirimi aracılığıyla kullanılabilir hale getirilebilir (ancak buna izin veren özellik, varsayılan olarak devre dışıdır).
Hafifletici önlemler devreye alınmadan önce test edilmeli ve yalnızca ekipman daha yeni, desteklenen alternatiflerle değiştirilene kadar devreye alınmalıdır. Cisco (ve diğer üreticiler), ürünler desteklenmeyi bıraktığında doğal olarak yöneticilerin ikinci seçeneği tercih etmesini tercih eder.