Cisco-Router-Serie mit mehreren kritischen Lücken
Die bei kleineren und mittleren Unternehmen eingesetzten Router der RV-Serie weisen kritische Lücken auf. Es gibt Demo-Exploits und Cisco liefert Updates.
Ganze 15 Lücken stopft der Hersteller Cisco mit seinen aktuellen Updates für Router der RV-Serie. Drei davon sind sogar mit der maximalen Gefahrenbewertung 10.0 (CVSSv3-Score) ausgezeichnet und erlauben die Übernahme der Router aus dem Netz. Da es laut Cisco bereits Demo-Exploits gibt, tun Admins gut daran, die Sicherheits-Updates zügig einzuspielen.
Die drei extrem kritischen Lücken (CVE-2022-20699, CVE-2022-20700, CVE-2022-20707) betreffen die Modelle RV160, RV260, RV340 und RV345 aus der Small-Business-Kategorie. Bei CVE-2022-20699 handelt es sich um einen Fehler im SSL-VPN-Modul, den Angreifer durch spezielle HTTP-Pakete ausnutzen können, um direkt Code einzuschleusen und mit Root-Rechten auszuführen.
Auch das Web-Interface der Router ist löchrig. Via CVE-2022-20700 (CVSS 10), CVE-2022-20701 (CVSS 9.0) und CVE-2022-20702 (CVSS 6.0) lässt sich dessen Autorisierung umgehen, was Zugang zu kritischen Funktionen freigibt. Die Fehler CVE-2022-20707 (7.3), CVE-2022-20708 (10.0) und CVE-2022-20749 (7.3) erlauben das Einschmuggeln von Linux-System-Kommandos, die das Gerät ausführt.
Exploits bereits im Umlauf
Überdies führt Cisco eine Reihe von weiteren Schwachstellen auf, gegen die es jetzt Sicherheits-Updates gibt. Manche der Lücken wie die SSL-VPN-Lücken betreffen nur einzelne Modelle, andere wie die im Web-Interface treffen einen großen Teil der Modell-Palette. Details zu den einzelnen Schwachstellen, welche Modelle jeweils betroffen sind und wo es die Updates gibt, finden sich im Security-Advisory zu Cisco Small Business RV Series Routers Vulnerabilities.
Cisco erklärt, dass für manche der Lücken bereits Demo-Exploits (PoCs) verfügbar sind, gibt jedoch keine weiteren Informationen zu deren Verbreitung oder Gefährlichkeit. Ransomware-Banden dürften jedenfalls bereits die Tauglichkeit der Lücken für Einbrüche in Firmennetze evaluieren. Angesichts der von einer Ausnutzung ausgehenden Gefahr sollten sich Administratoren, die Router der RV-Serie einsetzen, also zügig um deren Aktualisierung kümmern.
Update 7. Februar 2022, 10:30: Für die kritische SSL-VPN-Lücke (CVE-2022-20699) wurde bereits ein Exploit öffentlich präsentiert. Demnach sind über 75.000 RV340/345-Router direkt aus dem Internet angreifbar.
(ju)
