Спецпроекты

Безопасность Техника

Cisco отказалась латать дыру в проверенных временем роутерах. Пользователям придется раскошелиться на новые

Компания Cisco анонсировала обнаружение еще одной критической уязвимости в моделях роутеров, поддержка которых закончилась несколько лет назад. Патчей для этой ошибки не будет — пользователям придется заменить устаревшее оборудование.

Критическая ошибка в UPnP

Компания Cisco решила не публиковать исправления к критической уязвимости, затрагивающей ряд устаревших роутеров для малого бизнеса.

Официальных патчей для моделей роутеров RV110W, RV130, RV130W и RV215W не будет, несмотря на высочайшую степень угрозы, которую несет выявленный баг.

Уязвимость, получившая индекс CVE-2021-34730, связана с некорректной валидацией входящего UPnP-трафика. Вследствие этого злоумышленник может произвести запуск произвольного кода с правами суперпользователя (root) без какой-либо авторизации или вызвать отказ оборудования. Для этого потребуется лишь направить специально сформированный UPnP-запрос.

cisco600.jpg
Cisco не будет исправлять очередной критический баг в устаревших роутерах

Ввиду того, что патчей не будет, пользователям уязвимых роутеров рекомендовано лишь отключить поддержку UPnP в LAN- и WAN-интерфейсах своих устройств. По умолчанию эта поддержка включена и активна.

Возраст дожития

Жизненный цикл моделей роутеров и файерволлов RV110W, RV130, RV130W и RV215W закончился в 2017-2018 гг. Тем не менее, Cisco продолжала поддерживать их на платной основе до 1 декабря 2020 г.

Компания признала, что интерфейсы управления устаревших роутеров изобилуют ошибками в диапазоне от DoS и кросс-скриптинга до удаленного запуска произвольного кода — всего 74 бага.

Весной 2021 г. было объявлено об обнаружении новой ошибки, которая допускала перехват контроля над оборудованием. Уже тогда в Cisco твердо заявили, что исправлять эту уязвимость не планируется. Единственный способ защититься от уязвимостей в этих устройствах — сменить эти роутеры на более новые модели.

Между тем, пользовательская база этих роутеров остается довольно обширной, иначе Cisco не публиковала бы бюллетени о новых уязвимостях в них.

«Для производителей оборудования и программных комплексов поддержка устаревших продуктов — постоянная проблема, особенно когда речь идет о популярных разработках, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Но их интересы волей-неволей входят в противоречие с интересами конечных пользователей, которые отнюдь не горят желанием менять проверенные и остающиеся работоспособными аппараты и программные пакеты на что-то другое, даже и более совершенное».

Как отметил эксперт, с точки зрения безопасности сети единственным верным решением будет все-таки заменить устаревающие устройства и программы. Даже если это и не самая простая задача.

Роман Георгиев

Короткая ссылка