Af Eskil Sørensen, 05/08/21
Cisco har rettet sårbarheder i flere small business VPN-routere. Sårbarheder, der giver angribere mulighed for at iværksætte denial of service-tilstand eller afvikle vilkårlige på sårbare enheder. Det skriver Bleeping Computer.
Fejlene har numrene CVE-2021-1609 og CVE-2021-1602 og er vurderet til hhv. 9,8 og 8,2 på CVSS-skalaen. De er fundet i de webbaserede administrationsgrænseflader og findes som følge af forkert validerede HTTP-anmodninger og utilstrækkelig brugerinputvalidering.
CVE-2021-1609 påvirker RV340, RV340W, RV345 og RV345P Dual WAN Gigabit VPN routere, mens CVE-2021-1602 påvirker RV160, RV160W, RV260, RV260P og RV260W VPN routere.
Begge fejl kan udnyttes eksternt, uden at der kræves godkendelse eller brugerinteraktion. Angribere kan udnytte sårbarhederne ved blot at sende ondsindede HTTP-anmodninger til de berørte routeres web-baserede administrationsgrænseflader.
Fjernstyring deaktiveret som udgangspunkt
Cisco forklarer ifølge Bleeping Computer, at fjernstyringsfunktionen som standard er deaktiveret på alle berørte VPN-routermodeller, hvorfor fejlene som udgangspunkt ikke kan udnyttes. Hvis man vil tjekke sin router for dette, skal man åbne routerens webbaserede styringsinterface via en lokal LAN-forbindelse og kontrollere, om indstillingen 'Remote management' er slået til.
Vejledning til at downloade den patchede firmware findes i Ciscos udsendte advisory.
Cisco oplyser, at det "Product Security Incident Response Team (PSIRT) ikke er bekendt med nogen ondsindet udnyttelse af de to fejl.
Links: