Cisco, Birden Çok Küçük İşletme VPN Yönlendiricisini (Routers) Etkileyen Kimlik Doğrulama Bypass Kusurunu Düzeltmeyecek
Cisco Small Business RV110W, RV130, RV130W ve RV215W Yönlendiricilerinin IPSec VPN Sunucusu kimlik doğrulama işlevselliğinde (CVE-2022-20923) olarak izlenen güvenlik açığı, aygıtlar kullanım ömrünün sonuna (EoL) ulaştığından yamalanmayacaktır.
Cisco tarafından yayımlanan güvenlik danışma belgesine göre, "Kimliği doğrulanmamış, uzak bir saldırganın kimlik doğrulama denetimlerini atlamasına ve IPSec VPN ağına erişmesine izin verir".
Güvenlik açığı, parola doğrulama algoritmasının yanlış uygulanması nedeniyle ortaya çıkar. Bu nedenle, saldırgan etkilenen bir aygıttan VPN'de "hazırlanmış kimlik bilgileriyle" oturum açarak bu güvenlik açığından yararlanabilir.
Bu durumda, saldırganlar, kullanılan hazırlanmış kimlik bilgilerine bağlı olarak yönetici kullanıcıyla aynı düzeyde ayrıcalıklar kazanır.
Cisco, bu güvenlik açığını gideren yamalar yayınlamamıştır. Bu güvenlik açığını gideren geçici bir çözüm bulunmamaktadır.
Etkilenen Ürünler
Bu güvenlik açığı, IPSec VPN Sunucusu özelliği etkinleştirilmişse Cisco Small Business RV Serisi Yönlendiricileri etkiler:
- RV110W Wireless-N VPN Güvenlik Duvarı (Firewall)
- RV130 VPN Yönlendirici (Router)
- RV130W Wireless-N Çok İşlevli (Multifunction) VPN Yönlendirici (Router)
- RV215W Wireless-N VPN Yönlendirici (Router)
Web tabanlı yönetim arabiriminde oturum açın ve IPSec VPN Sunucusu özelliğinin bir aygıtta yapılandırılıp yapılandırılmadığını öğrenmek için VPN > IPsec VPN Sunucusu (IPSec VPN Server) > Kur (Setup)'u seçin.
Daha Yeni Yönlendirici Modellerine Yükseltme
"Cisco, bu danışma belgesinde açıklanan güvenlik açığını gidermek için yazılım güncellemeleri yayınlamadı ve yayınlamayacak".
Şirket, "Cisco Small Business RV110W, RV130, RV130W ve RV215W Yönlendiriciler kullanım ömrü sonu sürecine girdi" dedi.
Cisco, Cisco Small Business RV132W, RV160 veya RV160W Yönlendiricilere geçiş yapmanızı önerir. Ayrıca, maruziyeti ve eksiksiz bir yükseltme çözümünü belirlemek için Cisco Güvenlik Önerileri sayfasında bulunan Cisco ürünlerine yönelik danışma belgelerine düzenli olarak bakın. Özellikle, CVE-2022-20923, Cisco'nun son yıllarda yamasız bıraktığı bu EoL yönlendirici modellerini etkileyen ilk ciddi güvenlik açığı değildir.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News
ReusLux
2008 senesinden beri bilişime bağlı olarak çalışan biri, son 4 sene boyunca kendini yazılım bölümüne atamış anonim kişi...
