Cisco oficiálním prohlášení uvedlo, že neopraví kritickou zranitelnost ve službě Universal Plug-and-Play (UPnP) v několika svých routerech určených pro malé podniky. Důvodem je skutečnost, že postiženým zařízením skončila podpora, informuje Bleeping Computer.
Zero-day chyba, evidovaná jako CVE-2021-34730, je hodnocená velmi vysokým stupněm závažnosti 9,8 z 10 bodů. Je způsobena nesprávnou validací příchozího provozu UPnP a nahlásil ji Quentin Kaiser z firmy IoT Inspector Research Lab.
Routery zůstanou bez záplaty
Zranitelnost se týká směrovačů Cisco Small Business RV110W, RV130, RV130W a RV215W se zapnutou službou UPnP. Nebezpečná je hlavně tím, že může neautentifikovanému vzdálenému útočníkovi umožnit spuštění libovolného kódu s právy roota nebo způsobit neočekávané restartování postiženého zařízení, což může vést ke stavu odepření služby (DoS).
Výrobce postižených zařízení vydal ve středu 18. srpna bezpečnostní upozornění, ve kterém doslova píše: „Společnost Cisco nevydala a nevydá aktualizace softwaru, které by řešily zranitelnost popsanou v tomto upozornění.“
Důvodem je skutečnost, že všem dotčeným zařízením skončila podpora ke 2. prosinci 2019. Výrobce konstatuje, že neexistují žádná řešení, která by tuto zranitelnost opravila. Zákazníkům je doporučeno přejít na novější modely Cisco Small Business RV132W, RV160 nebo RV160W.
Pozor na konec podpory!
V rámci objektivity je nutné dodat, že dle týmu pro řešení bezpečnostních incidentů u produktů nejsou známy žádné důkazy o aktivním zneužívání této chyby. Může být ale jen otázkou času, kdy útočníci začnou bezpečnostní nedostatek zneužívat.
Dobrou zprávou ale je, že služba UPnP je u postižených zařízení ve výchozím nastavení zapnuta pouze na rozhraních LAN (místní sítě), zatímco na všech rozhraních WAN je vypnuta. V případě vypnutí služby nejsou routery zranitelné.
„Chcete-li zjistit, zda je funkce UPnP na rozhraní LAN povolena, otevřete webové rozhraní pro správu a přejděte na Základní nastavení – UPnP,“ uvádí Cisco. „Pokud není zaškrtnuto políčko Zakázat, pak je protokol UPnP na zařízení povolen.“
Tato kauza ukazuje, jak je důležité sledovat podporu síťových zařízení. Po jejím ukončení totiž výrobce nemusí vydávat (a většinou také nevydává) bezpečnostní aktualizace, a to ani v případě objevení velmi závažných chyb, jako je tato. Nezáplatovaný prvek pak může sloužit útočníkům jako otevřená brána do sítě.
