Поделиться
Cisco отказалась латать дыру в проверенных временем роутерах. Пользователям придется раскошелиться на новые
Компания Cisco анонсировала обнаружение еще одной критической уязвимости в моделях роутеров, поддержка которых закончилась несколько лет назад. Патчей для этой ошибки не будет — пользователям придется заменить устаревшее оборудование.
Критическая ошибка в UPnP
Компания Cisco решила не публиковать исправления к критической уязвимости, затрагивающей ряд устаревших роутеров для малого бизнеса.
Официальных патчей для моделей роутеров RV110W, RV130, RV130W и RV215W не будет, несмотря на высочайшую степень угрозы, которую несет выявленный баг.
Уязвимость, получившая индекс CVE-2021-34730, связана с некорректной валидацией входящего UPnP-трафика. Вследствие этого злоумышленник может произвести запуск произвольного кода с правами суперпользователя (root) без какой-либо авторизации или вызвать отказ оборудования. Для этого потребуется лишь направить специально сформированный UPnP-запрос.
Ввиду того, что патчей не будет, пользователям уязвимых роутеров рекомендовано лишь отключить поддержку UPnP в LAN- и WAN-интерфейсах своих устройств. По умолчанию эта поддержка включена и активна.
Возраст дожития
Жизненный цикл моделей роутеров и файерволлов RV110W, RV130, RV130W и RV215W закончился в 2017-2018 гг. Тем не менее, Cisco продолжала поддерживать их на платной основе до 1 декабря 2020 г.
Компания признала, что интерфейсы управления устаревших роутеров изобилуют ошибками в диапазоне от DoS и кросс-скриптинга до удаленного запуска произвольного кода — всего 74 бага.
Весной 2021 г. было объявлено об обнаружении новой ошибки, которая допускала перехват контроля над оборудованием. Уже тогда в Cisco твердо заявили, что исправлять эту уязвимость не планируется. Единственный способ защититься от уязвимостей в этих устройствах — сменить эти роутеры на более новые модели.
Между тем, пользовательская база этих роутеров остается довольно обширной, иначе Cisco не публиковала бы бюллетени о новых уязвимостях в них.
«Для производителей оборудования и программных комплексов поддержка устаревших продуктов — постоянная проблема, особенно когда речь идет о популярных разработках, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Но их интересы волей-неволей входят в противоречие с интересами конечных пользователей, которые отнюдь не горят желанием менять проверенные и остающиеся работоспособными аппараты и программные пакеты на что-то другое, даже и более совершенное».
Как отметил эксперт, с точки зрения безопасности сети единственным верным решением будет все-таки заменить устаревающие устройства и программы. Даже если это и не самая простая задача.
Поделиться
Короткая ссылка
