Cisco, birden fazla küçük işletme VPN yönlendiricisini etkileyen yeni bir kimlik doğrulama atlama hatasının, cihazların kullanım ömrünün sonuna (EoL) ulaştığı için yamalanmayacağını söylüyor.
Bu sıfır gün hatasına (CVE-2022-20923), saldırganların, IPSec VPN Sunucusu özelliği etkinleştirilirse, şirketin “hazırlanmış kimlik bilgileri” olarak tanımladığı şeyi kullanarak savunmasız cihazlarda VPN’de oturum açmak için yararlanabileceği hatalı bir parola doğrulama algoritması neden olur. .
Cisco, Çarşamba günü yayınlanan bir güvenlik tavsiyesinde, “Başarılı bir istismar, saldırganın kimlik doğrulamasını atlamasına ve IPSec VPN ağına erişmesine izin verebilir.”
“Saldırgan, kullanılan kimlik bilgilerine bağlı olarak bir yönetici kullanıcıyla aynı düzeyde ayrıcalıklar elde edebilir.”
Bir yönlendiricide IPSec VPN Sunucusunun etkinleştirilip etkinleştirilmediğini belirlemek için web tabanlı yönetim arayüzünde oturum açmanız ve VPN > IPSec VPN Sunucusu > Kurulum’a gitmeniz gerekir.
“Sunucu Etkinleştir” onay kutusu işaretlenirse, cihaz CVE-2022-20923 istismar girişimlerine maruz kalır.
Neyse ki Cisco, Ürün Güvenliği Olay Müdahale Ekibi’nin (PSIRT), bu sıfır gün için halka açık kavram kanıtı istismarlarına veya danışma belgesi yayınlanana kadar vahşi ortamda hatayı istismar eden herhangi bir tehdit aktörüne dair hiçbir kanıt bulamadığını söylüyor.
Koruma için daha yeni yönlendirici modellerine yükseltin
Cisco, hala bu güvenlik açığından etkilenen RV110W, RV130, RV130W ve RV215W yönlendiricilerini kullanan müşterilerden, güvenlik güncellemelerini almaya devam eden daha yeni modellere yükseltmelerini istedi.
Bir satış sonuna göre duyuru Cisco’nun web sitesinde, bu RV Serisi yönlendiricilerin siparişe hazır olduğu son gün 2 Aralık 2019’du.
Şirket, “Cisco, bu danışma belgesinde açıklanan güvenlik açığını gidermek için yazılım güncellemeleri yayınlamadı ve yayınlamayacak” dedi. katma.
“Müşterilerin Cisco Small Business RV132W, RV160 veya RV160W Yönlendiricilerine geçiş yapmaları önerilir.”
CVE-2022-20923, Cisco’nun son yıllarda düzeltmeden bıraktığı bu EoL yönlendirici modellerini etkileyen ilk ciddi güvenlik açığı değil.
Örneğin, Ağustos 2021’de şirket kritik bir güvenlik açığı için güvenlik yamaları yayınlamayacağını söyledi (CVE-2021-34730) bu RV Serisi yönlendiricilerde, kimliği doğrulanmamış saldırganların kök kullanıcı olarak uzaktan rastgele kod yürütmesine olanak tanıyarak, kullanıcılardan daha yeni modellere geçiş yapmalarını istedi.
Haziran 2022’de Cisco, açıkladıktan sonra sahiplerine daha yeni modellere geçmelerini tavsiye etti. yeni bir kritik uzaktan kod yürütme (RCE) güvenlik açığı (CVE-2022-20825) yama yapılmaz.