Cisco kunngjorde nylig at det ikke kommer til å gi ut programvareoppdateringer for et sårbarhet med sin Universal Plug-and-Play (UPnP) -tjeneste i Cisco Small Business RV110W, RV130, RV130W og RV215W-rutere.
Sårbarheten gjør at uautentisert, ekstern angriper kan utføre vilkårlig kode eller få en berørt enhet til å starte uventet på nytt, noe som resulterer i en Denial of Service (DoS) -tilstand.
“Dette sikkerhetsproblemet skyldes feil validering av innkommende UPnP -trafikk. En angriper kan utnytte dette sikkerhetsproblemet ved å sende en laget UPnP -forespørsel til en berørt enhet. En vellykket utnyttelse kan gjøre at angriperen kan utføre vilkårlig kode som rotbruker på det underliggende operativsystemet eller få enheten til å laste på nytt, noe som resulterer i en DoS -tilstand, “sa Cisco i en uttalelse.
“Cisco har ikke gitt ut programvareoppdateringer som adresserer dette sikkerhetsproblemet. Det finnes ingen løsninger som løser dette sikkerhetsproblemet.”
Sårbarheten påvirker bare rutere i RV -serien hvis de har UPnP konfigurert, men UPnP -tjenesten er aktivert som standard på LAN -grensesnitt og deaktivert som standard på WAN -grensesnitt.
Selskapet forklarte det for å finne ut om UPnP -funksjonen er aktivert på LAN-grensesnittet til en enhet, bør brukerne åpne det nettbaserte administrasjonsgrensesnittet og navigere til Basic Settings & gt; UPnP. Hvis avmerkingsboksen Deaktiver ikke er merket av, er UPnP aktivert på enheten.
Cisco sa at selv om deaktivering av den berørte funksjonen har vist seg å være vellykket i noen testmiljøer, bør kundene “bestemme anvendeligheten og effektiviteten i sitt eget miljø og under egne bruksforhold.”
De advarte også om at enhver løsning eller begrensning kan skade hvordan nettverket fungerer eller fungerer. Cisco oppfordret kundene til å migrere til Cisco Small Business RV132W, RV160 eller RV160W rutere.
Sårbarheten og Ciscos varsel skapte en mindre oppsikt blant IT -ledere, hvorav noen sa at utnyttelsen krever at trusselsaktøren har tilgang til et internt nettverk, som enkelt kan oppnås gjennom en phishing -e -post eller andre metoder.
Jake Williams, CTO hos BreachQuest, la til at en trusselsaktør en gang kunne være inne i denne sårbarheten for å enkelt ta kontroll over enheten ved hjelp av en utnyttelse.
“De sårbare enhetene er utbredt i mindre forretningsmiljøer. Noen større organisasjoner bruker også enhetene for eksterne kontorer. Sårbarheten ligger i uPnP, som er ment å tillate dynamisk omkonfigurering av brannmurer for eksterne tjenester som må passere trafikk innover fra Internett. , “Sa Williams til ZDNet.
“Selv om uPnP er en ekstremt nyttig funksjon for hjemmebrukere, har den ingen plass i forretningsmiljøer. Cisco lar sannsynligvis uPnP -funksjonen være aktivert på produktlinjen for små bedrifter fordi det er mindre sannsynlig at disse miljøene har dedikerte supportmedarbeidere som kan omkonfigurere en brannmur som nødvendig for et produkt. Ansatte i disse miljøene trenger alt for å “bare fungere”. I sikkerhetsrommet må vi huske at hver funksjon også er en ekstra angrepsflate som venter på å bli utnyttet. ”
Williams la til at selv uten sårbarheten, hvis uPnP er aktivert, kan trusselaktører i miljøet bruke den til å åpne porter på brannmuren, slik at farlig trafikk fra Internett slippes inn.
“Fordi de sårbare enhetene nesten utelukkende brukes i små forretningsmiljøer, med få dedikerte tekniske supportmedarbeidere, blir de nesten aldri oppdatert,” bemerket han.
Vulcan Cyber-sjef Yaniv Bar-Dayan sa at UPnP er en mye malignert tjeneste som brukes i de fleste Internett-tilkoblede enheter, og anslår at mer enn 75% av ruterne har UPnP aktivert.
Selv om Ciscos svarsteam for produktsikkerhetshendelser sa at det ikke var klar over skadelig bruk av dette sikkerhetsproblemet så langt, sa Bar-Dayan at UPnP har blitt brukt av hackere til å ta kontroll over alt fra IP-kameraer til bedriftsnettverk infrastruktur.
Andre eksperter, som nVisium senior applikasjonssikkerhetskonsulent Zach Varnell, la til at det er ekstremt vanlig at enhetene sjelden – eller aldri – mottar oppdateringer.
“Brukere har en tendens til å ville stå godt nok alene og ikke berøre en enhet som har fungert bra-inkludert når den trenger viktige oppdateringer. Mange ganger benytter brukerne seg også av plug-and-play-funksjonalitet, så de gjør veldig lite eller null konfigurasjonsendringer, slik at enheten er i standardstatus og til slutt sårbar, “sa Varnell.
New Net Technologies globale visepresident for sikkerhetsforskning Dirk Schrader la til at mens UPnP er et av de minst kjente verktøyene for gjennomsnittlige forbrukere, brukes det bredt i SOHO -nettverksenheter som DSL eller kabelruter, WLAN -enheter, selv i skrivere.
“UPnP er til stede i nesten alle hjemmenettverksenheter og brukes av enheter for å finne andre nettverksenheter. Det har vært målrettet tidligere, og en av de store botnettene, Mirai, stolte sterkt på UPnP. Gitt at de navngitte Cisco -enhetene er plassert i i SOHO- og SMB -segmentet, er eierne mest sannsynlig ikke klar over UPnP og hva det gjør, sier Schrader.
“Det og det faktum at ingen løsning eller oppdatering er tilgjengelig ennå, er en ganske farlig kombinasjon, ettersom den installerte basen absolutt ikke er liten. Håp kan plasseres på det faktum at – som standard – UPnP ikke er aktivert på WAN -grensesnittene av den berørte Cisco -enheten, bare på LAN -siden. Ettersom forbrukere ikke sannsynligvis vil endre det, for at dette sårbarheten skal utnyttes, ser det ut til at angriperne trenger et annet, allerede etablert fotavtrykk i LAN. Men angriperne vil sjekke sårbarheten og se hva annet kan gjøres med det. “
Sikkerhet
Kaseya ransomware -angrep: Det du trenger å vite Surfshark VPN -anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cyber security 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for forretninger og hjemmebruk De beste sikkerhetsnøklene for 2FA Hvordan ofre som betaler løsepenger oppfordrer til flere angrep (ZDNet YouTube)
Relaterte emner :
Hardware Networking Tech Industry Internet of Things CXO Cloud 