Kritické zraniteľnosti routerov Cisco Small Business
Spoločnosť CISCO opravila 2 kritické a jednu závažnú zraniteľnosť malých podnikových bezpečnostných smerovačov (routerov série RV), ktoré umožňujú vzdialené pripájanie k podnikovej infraštruktúre službou VPN. Potenciálny útočník by mohol po úspešnom zneužití zraniteľnosti vykonávať ľubovoľný kód, či príkazy, a tak vytvoriť podmienky aj pre nedostupnosť služby. VJ CSIRT odporúča čo najskôr aktualizovať firmvér zraniteľných sieťových prvkov.
Opis činnosti:
Bezpečnostný špecialisti z 3 rôznych výskumných spoločností IoT Inspector Research Lab, Chaitin Security Research Lab a CLP Team reportovali produktovému tímu Cisco PSIRT pre riešenie bezpečnostných incidentov 3 zraniteľnosti bezpečnostných sieťových smerovačov určených pre malé podniky.
CVE-2022-20842 (CVSSv3 9,8)
Zraniteľnosť sa nachádza vo webovom rozhraní pre správu smerovačov radu RV340, RV340W, RV345 a RV345P. Úspešné zneužitie tejto kritickej zraniteľnosti môže umožniť potenciálnemu vzdialenému neoverenému útočníkovi vykonávať na zariadení ľubovoľný kód či spôsobiť nedostupnosť služby vynúteným reštartom zariadenia. Zraniteľnosť existuje pre nedostatočné overenie užívateľského prístupu k webovému rozhraniu pre správu zariadenia.
CVE-2022-20827 (CVSSv3 9.0)
Táto kritická zraniteľnosť sa nachádza vo funkcii aktualizácie databázy pre filtrovanie webových lokalít (WEB blacklist). Chybou sú ovplyvnené smerovače radu RV160, RV260, RV340 a RV345. Úspešné zneužitie zraniteľnosti môže umožniť potenciálnemu vzdialenému neoverenému útočníkovi vkladať a vykonávať príkazy v operačnom systéme smerovača s oprávneniami administrátora. Chyba existuje pre nedostatočné overovanie vstupu.
CVE-2022-20841 (CVSSv3 8.3)
Zraniteľnosť, ktorá bola ohodnotená ako vysoko závažná, existuje v module Open Plug and Play (PnP) smerovačov radu RV160, RV260, RV340 a RV345. Úspešné zneužitie zraniteľnosti môže umožniť potenciálnemu vzdialenému neoverenému útočníkovi vkladať ľubovoľné príkazy v základnom operačnom systéme smerovača. Chyba je spôsobená nedostatočným overením vstupu zadávaného užívateľom. Zneužitie zraniteľnosti si vyžaduje aby sa útočník nachádzal v pozícii man-in-the-middle, alebo aby mal sieťový prístup k zraniteľnému zariadeniu.
Zraniteľné systémy:
Routery Cisco Small business série RV:
- RV160, RV260 -> 1.0.01.05 a staršie
- RV340, RV340W, RV345 a RV345P -> 1.0.03.26 a staršie
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Vzdialené vykonávanie kódu
- Kompromitácia podnikovej siete
- Únik informácií
- Nedostupnosť služieb
Odporúčania:
- Odporúčame vykonať aktualizáciu zraniteľných sieťových zariadení série RV160/RV260 na opravenú verziu 1.0.01.09 a zariadení série RV340/RV345 na opravenú verziu 1.0.03.28.
- Odporúčame pravidelne kontrolovať dostupnosť najnovších aktualizácií.
- Odporúčame implementovať v infraštruktúre sieťový bezpečnostný monitoring pre včasné odhalenie podozrivej aktivity.
- Odporúčame prevádzkovať server pre uchovávanie záznamov o sieťovej aktivite pre sieťové prvky a ostatné zariadenia na sieti a uchovávať ich najmenej 30 dní.
Odkazy:
https://securityaffairs.co/wordpress/133984/security/cisco-small-business-vpn-routers-flaws.html
https://www.securityweek.com/critical-vulnerabilities-allow-hacking-cisco-small-business-routers
https://www.cert.europa.eu/static/SecurityAdvisories/2022/CERT-EU-SA2022-059.pdf