Kritické zraniteľnosti routerov Cisco Small Business

Spoločnosť CISCO opravila 2 kritické a jednu závažnú zraniteľnosť malých podnikových bezpečnostných smerovačov (routerov série RV), ktoré umožňujú vzdialené pripájanie k podnikovej infraštruktúre službou VPN. Potenciálny útočník by mohol po úspešnom zneužití zraniteľnosti vykonávať ľubovoľný kód, či príkazy, a tak vytvoriť podmienky aj pre nedostupnosť služby. VJ CSIRT odporúča čo najskôr aktualizovať firmvér zraniteľných sieťových prvkov.

Opis činnosti:

Bezpečnostný špecialisti z 3 rôznych výskumných spoločností IoT Inspector Research Lab, Chaitin Security Research Lab a CLP Team reportovali produktovému tímu Cisco PSIRT pre riešenie bezpečnostných incidentov 3 zraniteľnosti bezpečnostných sieťových smerovačov určených pre malé podniky.

CVE-2022-20842 (CVSSv3 9,8)

Zraniteľnosť sa nachádza vo webovom rozhraní pre správu smerovačov radu RV340, RV340W, RV345 a RV345P. Úspešné zneužitie tejto kritickej zraniteľnosti môže umožniť potenciálnemu vzdialenému neoverenému útočníkovi vykonávať na zariadení ľubovoľný kód či spôsobiť nedostupnosť služby vynúteným reštartom zariadenia. Zraniteľnosť existuje pre nedostatočné overenie užívateľského prístupu k webovému rozhraniu pre správu zariadenia.

CVE-2022-20827 (CVSSv3 9.0)

Táto kritická zraniteľnosť sa nachádza vo funkcii aktualizácie databázy pre filtrovanie webových lokalít (WEB blacklist). Chybou sú ovplyvnené smerovače radu RV160, RV260, RV340 a RV345. Úspešné zneužitie zraniteľnosti môže umožniť potenciálnemu vzdialenému neoverenému útočníkovi vkladať a vykonávať príkazy v operačnom systéme smerovača s oprávneniami administrátora. Chyba existuje pre nedostatočné overovanie vstupu.

CVE-2022-20841 (CVSSv3 8.3)

Zraniteľnosť, ktorá bola ohodnotená ako vysoko závažná, existuje v module Open Plug and Play (PnP) smerovačov radu RV160, RV260, RV340 a RV345. Úspešné zneužitie zraniteľnosti môže umožniť potenciálnemu vzdialenému neoverenému útočníkovi vkladať ľubovoľné príkazy v základnom operačnom systéme smerovača. Chyba je spôsobená nedostatočným overením vstupu zadávaného užívateľom. Zneužitie zraniteľnosti si vyžaduje aby sa útočník nachádzal v pozícii man-in-the-middle, alebo aby mal sieťový prístup k zraniteľnému zariadeniu.

Zraniteľné systémy:

Routery Cisco Small business série RV:

  • RV160, RV260 -> 1.0.01.05 a staršie
  • RV340, RV340W, RV345 a RV345P -> 1.0.03.26 a staršie

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Vzdialené vykonávanie kódu
  • Kompromitácia podnikovej siete
  • Únik informácií
  • Nedostupnosť služieb

Odporúčania:

  • Odporúčame vykonať aktualizáciu zraniteľných sieťových zariadení série RV160/RV260 na opravenú verziu 1.0.01.09 a zariadení série RV340/RV345 na opravenú verziu 1.0.03.28.
  • Odporúčame pravidelne kontrolovať dostupnosť najnovších aktualizácií.
  • Odporúčame implementovať v infraštruktúre sieťový bezpečnostný monitoring pre včasné odhalenie podozrivej aktivity.
  • Odporúčame prevádzkovať server pre uchovávanie záznamov o sieťovej aktivite pre sieťové prvky a ostatné zariadenia na sieti a uchovávať ich najmenej 30 dní.

Odkazy:

https://securityaffairs.co/wordpress/133984/security/cisco-small-business-vpn-routers-flaws.html

https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-remote-code-execution-bug-in-vpn-routers/

https://www.securityweek.com/critical-vulnerabilities-allow-hacking-cisco-small-business-routers

https://www.cert.europa.eu/static/SecurityAdvisories/2022/CERT-EU-SA2022-059.pdf