• ГлавнаяНовостиНовостиНовости, 202104Новости, 202104 → В оборудовании Cisco найден критический баг, который не будут исправлять

      В оборудовании Cisco найден критический баг, который не будут исправлять

      Компания Cisco объявила об обнаружении новой критической уязвимости в роутерах для малого бизнеса серии Soho. Исправлений для нее выпускаться не будет, поскольку срок службы оборудования закончился еще два года назад.

      КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}/*Обратная связь и подписка - кнопки*/ .buttons{background:#e0ffff;color:#dc143c;font-weight:700;border:1.5px solid black;border-radius:4px;transition:0.4s;}.buttons:hover {background-color:#4CAF50;color:white;box-shadow:0 12px 16px 0 rgba(0,0,0,0.24), 0 17px 50px 0 rgba(0,0,0,0.19);cursor:pointer;}

Неисправимо переполненный буфер

У трех моделях роутеров для малого бизнеса Cisco Soho, а также в VPN-файерволле того же производителя обнаружена критическая уязвимость, допускающая перехват контроля над оборудованием. Однако она не будет исправлена.

Уязвимость выявлена в известных (в том числе обилием проблем) роутерах RV110W, RV130 и RV215W, а также в аппаратном файерволле RV130W.

Баг относится к «классической» разновидности ошибок — переполнение буфера. Причина — некорректная валидация пользовательского ввода в веб-интерфейсе, что позволяет записывать данные за пределами выделенной области памяти.

Злоумышленник может сформировать специализированный HTTP-запрос и обеспечить, в том числе, запуск произвольного кода в контексте операционной системы устройства.

В устаревшем оборудовании Cisco обнаружен серьезный баг, который не будет исправлен

Это уже не первый подобный баг, выявленный в маршрутизаторах Soho. В 2019 г. аналогичная ошибка (CVE-2019-1663) была обнаружена в этих же устройствах; по мнению экспертов компании PenTestPartners, причина заключалась в том, что авторы прошивок к роутерам использовали «небезопасные» функции языка программирования C.

Больше не поддерживаем

Cisco полностью сняла с поддержки перечисленные модели роутеров и файерволлов 1 декабря 2020 г. Их жизненный цикл закончился еще в 2017-2018 гг., однако некоторая часть организаций продолжала платить Cisco за сохранение поддержки и выпуск обновлений еще в течение двух с лишним лет.

В новом бюллетене безопасности Cisco еще раз подтвердила, что выпускать обновлений к новообнаруженной уязвимости не планируется. Единственное, что компания предлагает компаниям, продолжающим использовать данное оборудование, это сменить его на более новые модели.

«Других способов обезопасить себя нет. Еще в начале года вышел бюллетень Cisco, в котором говорилось, что общее количество уязвимостей, обнаруженных в этом сетевом оборудовании идет на десятки, а исправлений к ним уже не будет, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — При этом пользовательская база этих устройств, по-видимому, остается довольно внушительной, иначе бы напоминаний сменить их на более новые не публиковалось. Сетевое оборудование в принципе очень инерционно в плане сроков своей эксплуатации, вне зависимости от того, сколько в его прошивках уязвимостей. К сожалению, это играет против конечных пользователей: уязвимые роутеры — отличная точка входа для злоумышленников».

Учитывая, что опубликованы технические подробности о новой уязвимости, можно ожидать скорых попыток ее эксплуатации.

Flash окончательно изгонят из Windows. Пути назад больше нет

Microsoft выпустит обязательное крупное обновление 21H1 для Windows 10, которое принудительно удалит с компьютеров Flash Player. Отказаться от установки патчей нельзя – в системе отключена возможность блокировки автоматического обновления....

IDC: в 2020 году рост российского ИТ-рынка составил 14%

19:08 03.05.2021 |-nbsp;-nbsp; 474 ...

Стартап экс-замминистра связи создаст электротакси вместе с Uber

Uber и компания Arrival, созданная экс-замминистра связи Денисом Свердловым, разработают электротакси для пассажирских перевозок. Автомобиль будет создан с учетом потребностей водителей, проводящих большую часть жизни за рулем, но и про комфорт пасса...

«Яндекс» договорился о покупке банка

20:53 29.04.2021 |-nbsp;-nbsp; 2189 ...

Легендарная Yahoo продается за бесценок

Телеком-гигант Verizon продает пионеров американского интернета Yahoo и AOL за $5 млрд. Их он купил в 2017 г. и 2015 г. соответственно в сумме более чем за $9 млрд, и в итоге он продает их на $4,1 млрд дешевле. Прибыли эти компании ему не принесли – ...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК|Fb|Tw|OK

Рубрики | Каталог | Новости | Контакты |
/*Выпадайка (простая) - для рубрик справа/внизу*/.advert ul, .content ul{list-style:none;}.rubcontent [type=email], .rubcontent [type=submit]{display:block;margin:1px auto;}.rubcontent{display:block;line-height:25px;border-radius:5px 10px 0 0;border:1px solid #542437;}.cd-accordion-menu li, .list_menu_compact li, .cd-accordion-menu_ya-share2 li{padding:0;margin-left:20px;}.hidden, .cd-accordion-menu ul, .hidden:checked + label .equiv{display:none;}.hidden:checked + label + ul, .hidden:checked + label .trigramma{display:inline;}/*Карта сайта - свернуть/развернуть: ВСЕ - пока не все работает#checkbox_menu_all:checked + label + .cd-accordion-menu li ul{display:inline;}#checkbox_menu_all:checked + label + .cd-accordion-menu{display:none;}#checkbox_menu_all:checked + label + .cd-accordion-menu + .cd-accordion-menu_ya-share2{display:none;}*/@media (min-width:801px){/*Моб.меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202104Новости, 202104 → В оборудовании Cisco найден критический баг, который не будут исправлять