Zero-Day-Bug betrifft problembehaftete Cisco SOHO-Router

Cyber Security News

Cisco sagt, dass es drei Router-Modelle für kleine Unternehmen und ein VPN-Firewall-Gerät mit kritischen Sicherheitslücken nicht patchen wird.

Cisco Systems sagt, dass es eine kritische Sicherheitslücke, die in drei seiner SOHO-Router-Modelle gefunden wurde, nicht beheben wird. Der Fehler, der mit einem Schweregrad von 9,8 von 10 bewertet wurde, könnte es unautorisierten Remote-Benutzern ermöglichen, die betroffenen Geräte zu kapern und sich erhöhte Rechte in den betroffenen Systemen zu verschaffen.

Die drei Cisco-Router-Modelle (RV110W, RV130 und RV215W) und ein VPN-Firewall-Gerät (RV130W) sind unterschiedlich alt und haben laut Cisco das “End of Life” erreicht und werden nicht gepatcht.

Das Unternehmen rät den Kunden, die Geräte zu ersetzen.

“Cisco hat keine Software-Updates veröffentlicht und wird diese auch nicht veröffentlichen, um die in diesem Hinweis beschriebene Schwachstelle zu beheben. Die Router Cisco Small Business RV110W, RV130, RV130W und RV215W sind in den End-of-Life-Prozess eingetreten”, schrieb das Unternehmen. Das Unternehmen fügte hinzu, dass auch kein Workaround verfügbar ist.

Buffer Overflow Bug

In dem am Mittwoch veröffentlichten Sicherheitshinweis von Cisco Systems erklärt der Netzwerkriese, dass der Fehler auf eine unsachgemäße Validierung von Benutzereingaben in der webbasierten Verwaltungsoberfläche zurückzuführen ist.

“Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er manipulierte HTTP-Anfragen an ein Zielgerät sendet. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, beliebigen Code als Root-Benutzer auf dem zugrunde liegenden Betriebssystem des betroffenen Geräts auszuführen”, schrieb Cisco.

Abhilfemaßnahmen, wie das Deaktivieren der webbasierten Verwaltungsoberfläche, sind nicht verfügbar. “Die webbasierte Verwaltungsschnittstelle dieser Geräte ist über eine lokale LAN-Verbindung verfügbar, die nicht deaktiviert werden kann, oder über die WAN-Verbindung, wenn die Fernverwaltungsfunktion aktiviert ist”, schrieb Cisco. “[However by] Standardmäßig ist die Fernverwaltungsfunktion auf diesen Geräten deaktiviert”, schrieb Cisco.

Frühere Router-Probleme

Jeder der Router (RV110W, RV130 und RV215W) hat eine steinige Vergangenheit hinter sich. Im Jahr 2019 nutzten Hacker einen ähnlichen kritischen Fehler (CVE-2019-1663) aus, nachdem ein öffentlicher Proof of Concept von Forschern mit Pen Test Partners zur Verfügung gestellt wurde.

In ihrem Blogbeitrag führte Pen Test Partners die Ursache des Bugs von 2019 darauf zurück, dass Cisco auf die Verwendung von unsicheren C-Programmiersprachen wie strcpy (string copy) setzte.

Der Forscher Treck Zhou, dem die Entdeckung des 2021-Bugs zugeschrieben wird, lieferte keine solche ähnliche Analyse. Im Gegensatz zum 2019er Bug sagte Cisco, dass es “keine öffentlichen Ankündigungen oder böswillige Nutzung der in diesem Advisory beschriebenen Schwachstelle bekannt ist.”

Ein weiterer kritischer Router-Bug

Am Mittwoch warnte Cisco außerdem vor einem zweiten kritischen Fehler mit einem Schweregrad von 9.8, der die Cisco SD-WAN vManage Software betrifft. Zwei weitere Fehler mit hohem Schweregrad wurden ebenfalls gemeldet, die dieselbe Cisco SD-WAN vManage Software betreffen.

“Mehrere Schwachstellen in der Cisco SD-WAN vManage Software könnten es einem nicht authentifizierten, entfernten Angreifer ermöglichen, beliebigen Code auszuführen oder einem authentifizierten, lokalen Angreifer erlauben, erweiterte Rechte auf einem betroffenen System zu erlangen”, schreibt Cisco.

Jeder dieser Bugs (CVE-2021-1137, CVE-2021-1479, CVE-2021-1480) ist separat und kann und muss nicht miteinander verkettet werden. “Die Sicherheitslücken sind nicht voneinander abhängig. Die Ausnutzung einer der Sicherheitslücken ist nicht erforderlich, um eine andere Sicherheitslücke auszunutzen”, schrieb Cisco.

Der schwerwiegendste der Fehler (CVE-2021-1479) betrifft die SD-WAN vManage-Software von Cisco. Er ermöglicht nicht authentifizierten Angreifern, einen Pufferüberlauf-Angriff auszulösen.

“Die Schwachstelle ist auf eine unsachgemäße Validierung der vom Benutzer bereitgestellten Eingaben für die verwundbare Komponente zurückzuführen. Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine manipulierte Verbindungsanforderung an die anfällige Komponente sendet, die bei der Verarbeitung einen Pufferüberlauf auslösen könnte. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, beliebigen Code auf dem zugrunde liegenden Betriebssystem mit Root-Rechten auszuführen”, beschreibt Cisco.

Cisco hat Patches für Schwachstellen veröffentlicht, die seine SD-WAN vManage Software betreffen. Für die beiden anderen CVE-Einträge (CVE-2021-1137 und CVE-2021-1480), die als hochgradig schwerwiegend eingestuft sind, sind ebenfalls Patches verfügbar.

“[These] Die Schwachstellen betreffen Cisco-Geräte, wenn auf ihnen eine anfällige Version der Cisco SD-WAN vManage Software läuft”, schrieb Cisco. Es fügte hinzu, dass ihm keine bekannten öffentlichen Exploits bekannt sind, die mit diesen drei Schwachstellen in Verbindung stehen.

Die Offenlegung der Schwachstellen war Teil einer größeren Offenlegung von Fehlern und Korrekturen, die insgesamt 16 Schwachstellen umfasste, die von kritisch, hochgradig bis mittelschwer reichen.

Haben Sie sich jemals gefragt, was in den Untergrundforen der Cyberkriminalität vor sich geht? Finden Sie es am 21. April um 14 Uhr ET während einer KOSTENLOSEN Threatpost-Veranstaltung mit dem Titel “Underground Markets: A Tour of the Dark Economy”. Experten nehmen Sie mit auf eine Führung durch das Dark Web, einschließlich der Frage, was zum Verkauf steht, wie viel es kostet, wie Hacker zusammenarbeiten und welche neuesten Tools für Hacker verfügbar sind. Registrieren Sie sich hier für die LIVE-Veranstaltung am Mittwoch, 21. April.

Einige Teile dieses Artikels stammen aus:
threatpost.com