Cisco заявила, что не будет выпускать исправление для уязвимости обхода аутентификации, затрагивающей несколько VPN-маршрутизаторов для малого бизнеса. Данное решение принято, поскольку срок службы устройств истёк.
Уязвимость нулевого дня (CVE-2022-20923) вызвана неисправным алгоритмом проверки пароля, который злоумышленники могут использовать для входа в VPN на устройствах, если включена функция IPSec VPN Server.
«Успешный эксплойт может позволить злоумышленнику обойти аутентификацию и получить доступ к сети IPSec VPN», — объясняет Cisco. В итоге хакер может получить привилегии того же уровня, что и администратор, в зависимости от используемых учётных данных.
Чтобы определить, включён ли сервер IPSec VPN на маршрутизаторе, необходимо войти в веб-интерфейс управления и перейти в раздел VPN > VPN-сервер IPSec > Настройки. Если флажок «Включить сервер» установлен, то устройство оказывается в зоне риска.
Группа реагирования на инциденты безопасности продуктов (PSIRT) Cisco не обнаружила никаких доказательств общедоступных эксплойтов для этой уязвимости или её эксплуатации.
Компания попросила клиентов, которые всё ещё используют маршрутизаторы RV110W, RV130, RV130W и RV215W, подверженные этой уязвимости, заменить их на более новые модели, которые получают обновления безопасности. Маршрутизаторы серии RV продавали до 2 декабря 2019 года. Теперь клиентам рекомендуется перейти на маршрутизаторы Cisco Small Business RV132W, RV160 или RV160W.
В августе 2021 года компания также отказалась выпускать исправления безопасности для критической уязвимости (CVE-2021-34730) в маршрутизаторах серии RV.
В ноябре 2021 года в продуктах Cisco нашли уязвимость, позволяющую получить root-доступ из-за несовершенства механизма аутентификации SSH в Cisco Policy Suite.
В июне 2022 года Cisco уже посоветовала клиентам перейти на более новые модели маршрутизаторов после того, как обнаружилась критическая уязвимость удалённого выполнения кода (CVE-2022-20825).
