Cisco telah mengatasi kerentanan keamanan pra-otentikasi yang berdampak pada beberapa router VPN Bisnis Kecil dan memungkinkan penyerang jarak jauh untuk memicu kondisi penolakan layanan atau menjalankan perintah dan kode arbitrer pada perangkat yang rentan.
Dua kelemahan keamanan yang dilacak sebagai CVE-2021-1609 (diberi peringkat 9.8/10) dan CVE-2021-1602 (8.2/10) ditemukan di antarmuka manajemen berbasis web dan ada karena permintaan HTTP yang tidak divalidasi dengan benar dan validasi input pengguna yang tidak memadai , masing-masing.
CVE-2021-1609 memengaruhi RV340, RV340W, RV345, dan RV345P router Dual WAN Gigabit VPN, sedangkan CVE-2021-1602 memengaruhi router VPN RV160, RV160W, RV260, RV260P, dan RV260W.
mudah dapat mengeksploitasi kerentanan dengan mengirimkan permintaan HTTP yang dibuat dengan jahat ke antarmuka manajemen berbasis web router yang terpengaruh.
Kedua bug dapat dieksploitasi dari jarak jauh tanpa memerlukan otentikasi sebagai bagian dari serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.
mudah dapat mengeksploitasi kerentanan dengan mengirimkan permintaan HTTP yang dibuat dengan jahat ke antarmuka manajemen berbasis web router yang terpengaruh.
Manajemen jarak jauh pada semua router yang terpengaruh
beruntung, seperti yang dijelaskan perusahaan, fitur manajemen jarak jauh secara default pada semua model router VPN yang terpengaruh.
"Antarmuka berbasis web untuk perangkat ini tersedia melalui koneksi LAN lokal secara default dan tidak dapat bebas di sana," kata Cisco.
"Antarmuka juga dapat tersedia melalui antarmuka WAN dengan mengaktifkan fitur manajemen jarak jauh. Secara default, fitur manajemen jarak jauh pengaturan pada perangkat yang terpengaruh."
Untuk mengetahui apakah manajemen jarak jauh diaktifkan pada perangkat Anda, Anda harus membuka antarmuka manajemen berbasis web router melalui koneksi LAN lokal dan memeriksa apakah opsi Pengaturan Dasar > Manajemen Jarak diaktifkan.
Cisco telah merilis perangkat lunak untuk mengatasi kerentanan ini dan mengatakan tidak ada solusi yang tersedia untuk menghapus vektor serangan.
Untuk mengunduh firmware yang ditambal dari Pusat Perangkat Lunak Cisco, Anda harus menelusuri Semua di Cisco.com dan Arahkan ke Beranda Unduhan > Router > Router Bisnis Kecil > Router Seri RV Bisnis Kecil.
Tidak dieksploitasi pembohong
Sementara Cisco mengatakan bahwa "Tim Respons Insiden Keamanan (PSIRT) tidak mengetahui penggunaan publik atau penggunaan jahat" dari dua kelemahan keamanan, kerentanan router telah ditargetkan pada masa lalu oleh penyerang di alam pembohong.
Pada Agustus 2020, bug Cisco zero-day yang dieksploitasi secara aktif (CVE-2020-3566 dan CVE-2020-3569) di router IOS XR level operator dengan perutean multicast diaktifkan. Perusahaan menambal zero-days selama akhir September 2020, satu bulan setelah peringatan awal.
Satu bulan kemudian, Cisco Kembali, pada Oktober 2020, serangan yang secara aktif mengaktifkan kerentanan tingkat tinggi yang terpisah (VE-2020-3118) yang berdampak pada IOS XR Network OS yang digunakan pada model router yang sama.
Pada hari yang sama, Badan Keamanan Nasional AS (NSA) juga memasukkan CVE-2020-3118 di antara 25 kerentanan keamanan yang ditargetkan atau dieksploitasi oleh ancaman yang mengancam negara China.
Pada Juli 2020, Cisco memperbaiki bug firewall ASA/FTD lainnya yang dieksploitasi secara aktif dan kelemahan eksekusi kode jarak jauh (RCE) sebelum autentikasi yang dapat menyebabkan pengambilalihan perangkat secara penuh pada perangkat yang rentan.
Tags:
News