Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Cisco warnt vor Sicherheitslücken in Routern zur Umgehung der Authentifizierung
Januar 24, 2023 - TuxCare PR Team
Ein entfernter Angreifer könnte mehrere Schwachstellen in vier Cisco Small Business Routern ausnutzen, um die Authentifizierung zu umgehen oder beliebige Befehle auf einem betroffenen Gerät auszuführen.
Die Schwachstellen, die die Router der Cisco Small Business RV160, RV260, RV340 und RV345 Serie betreffen, könnten es einem nicht authentifizierten Angreifer ermöglichen, beliebigen Code auszuführen oder einen Denial-of-Service (DoS)-Zustand auf einem betroffenen Gerät zu verursachen, so das Unternehmen.
Laut Cisco-Warnung wird diese Schwachstelle durch eine unsachgemäße Validierung von Benutzereingaben in eingehenden HTTP-Paketen verursacht. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine speziell gestaltete HTTP-Anfrage an die webbasierte Verwaltungsschnittstelle sendet. Wenn die Schwachstelle erfolgreich ausgenutzt wird, kann der Angreifer die Authentifizierung umgehen und Root-Zugriff auf das zugrunde liegende Betriebssystem erlangen.
Die Sicherheitslücke, die als CVE-2023-20025 (CVSS-Score 9.0) identifiziert wurde, betrifft die webbasierte Verwaltungsschnittstelle der Router und kann zur Umgehung der Authentifizierung ausgenutzt werden. Da die Benutzereingaben in eingehenden HTTP-Paketen nicht ordnungsgemäß überprüft werden, kann ein Angreifer manipulierte HTTP-Anfragen an den Router senden, die Authentifizierung umgehen und Root-Zugriff auf das Betriebssystem erlangen.
Eine erfolgreiche Kompromittierung könnte es Cyberangreifern unter anderem ermöglichen, den durch das Gerät fließenden VPN- und Sitzungsverkehr zu belauschen oder zu kapern, eine Basis für laterale Bewegungen innerhalb eines Unternehmensnetzwerks zu schaffen oder Kryptominers, Botnet-Clients oder andere Malware auszuführen.
Der erste Fehler ist ein als kritisch eingestuftes Problem bei der Umgehung der Authentifizierung (CVE-2023-20025), das in der Web-Verwaltungsschnittstelle der Geräte auftritt und eine CVSS-Schweregradbewertung von 9 von 10 hat.
Die zweite Schwachstelle, CVE-2023-20026, kann Remotecodeausführung (RCE) ermöglichen, wobei ein Angreifer gültige administrative Anmeldeinformationen auf dem betroffenen Gerät benötigt, um erfolgreich zu sein.
Beide betreffen alle RV016-, RV042-, RV042G- und RV082-Router, die das Ende ihrer Lebensdauer (EoL) erreicht haben. Infolgedessen erhalten die Geräte keine Sicherheitsupdates mehr, wie der Netzwerkriese in einem Advisory vom 11. Januar mitteilte.
In dem Advisory wird darauf hingewiesen, dass beide Fehler auf eine unsachgemäße Validierung von Benutzereingaben in eingehenden HTTP-Paketen zurückzuführen sind, so dass ein Angreifer nur eine manipulierte HTTP-Anfrage an die webbasierte Verwaltungsschnittstelle senden muss, um Root-Zugriff auf das zugrunde liegende Betriebssystem zu erhalten.
Zu den Quellen für diesen Beitrag gehört ein Artikel in DarkReading.
