Недостатки раскрывают маршрутизаторы Cisco малого бизнеса, брандмауэры для взлома

Три модели брандмауэров и маршрутизаторов беспроводной сети Cisco из серии RV для малого бизнеса содержат критическую уязвимость, которую неактивные пользователи могут использовать удаленно для управления устройствами.

Уязвимость находится в веб-интерфейсе управления маршрутизатора Cisco RV110W Wireless-N VPN Firewall, RV130W Wireless-N Multifunction VPN Router и RV215W Wireless-N VPN Router.

Его можно легко использовать, если затронутый устройства настроены для удаленного управления, так как злоумышленникам необходимо отправить не прошедший проверку HTTP-запрос с пользовательскими данными пользователя. Это приведет к удаленному выполнению кода как root, самой высокоприоритетной учетной записи в системе и может привести к полному компрометации.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Cisco Systems предупредила о уязвимость в совете по безопасности в среду, но никаких патчей пока нет. Компания планирует выпустить обновления прошивки, которые будут устранять этот недостаток на затронутых моделях в третьем квартале 2016 года.

Хуже того, это не единственная уязвимость, которая не была обнаружена на этих трех устройствах Cisco. Компания также предупреждала об ошибках средней степени тяжести, межсайтового скриптинга (XSS) и двух переполнений буфера среднего риска, которые могут привести к условиям отказа в обслуживании.

При использовании переполнения буфера злоумышленники должны иметь аутентифицированный сеанс в веб-интерфейсе устройства, ошибка XSS может быть вызвана путем обхода аутентифицированных пользователей, чтобы щелкнуть по специально созданным URL-адресам.

«Успешный эксплойт может позволить злоумышленнику выполнить произвольный скрипт в контексте веб-управления интерфейс для устройства или позволить злоумышленнику получить доступ к конфиденциальной информации на основе браузера », - говорится в заявлении Cisco.

Недостаток XSS затрудняет пользователям поиск стратегии смягчения при отсутствии патчей, поскольку ее можно комбинировать с другими уязвимостями. Например, если пользователи отключили внешнее управление на своих устройствах, чтобы защитить их от критической уязвимости, устройства все равно будут отображаться с ошибкой межсайтового скриптинга.