Некоторые маршрутизаторы серии RV, произведенные компанией Cisco, не получат исправления для 74 найденных недавно уязвимостей. Дело в том, что в последние обновления и исправления для этих устройств были выпущены 1 декабря 2020 года, а теперь их поддержка официально прекращена.
С такой проблемой столкнутся владельцы SMB-устройств RV110W, RV130, RV130W и RV215W, которые можно использовать как в качестве маршрутизаторов, так и в качестве брандмауэров и VPN-решений.
Как уже сказано выше, последние обновления для этих роутеров вышли 1 декабря 2020 года и были предназначены только для клиентов платной поддержки. Простые пользователи перестали получать патчи еще раньше, так как официальная поддержка перечисленных моделей была прекращена еще в 2017-2018 годах.
В трех бюллетенях безопасности, опубликованных на этой неделе (1, 2, 3), разработчики Cisco сообщают, что после выхода последних обновлений в декабре 2020 года в устройствах были найдены 74 уязвимости, начиная от простого отказа в обслуживании, до багов, которые можно использовать для получения root-доступа к роутерам. Наиболее опасной из них можно назвать проблему CVE-2021-1144 (CVSS 8,8), обнаруженную в Connected Mobile Experiences (CMX). Уязвимость может использоваться аутентифицированным злоумышленником для изменения паролей для любых учетных записей, включая учетные записи администратора.
Cisco подчеркивает, что для эксплуатации всех уязвимостей злоумышленник должен знать учетные данные от целевого устройства. К тому же доступ веб-интерфейсу устройств можно получить только при условии, что удаленное управление девайсом включено, а на этих моделях оно отключено по умолчанию. По мнению специалистов компании, это снижает риск атак в ближайшие месяцы и дает администраторам возможность подготовить план перехода на новое оборудование.
Так как обновлений для RV110W, RV130, RV130W и RV215W больше не будет, Cisco рекомендует владельцам устройств перейти на использование других устройств серии RV, которые обладают теми же функциями, но по-прежнему поддерживаются производителем (например, RV132W, RV160 или RV160W).