Cisco продавала роутеры с критическими уязвимостями: исправлять отказывается

Cisco ранее сообщил, что его роутеры моделей RV016, RV042, RV042G и RV082 подвержены CVE-2023-20025 - критической уязвимости обхода аутентификации, а также уязвимости удаленного выполнения команд CVE-2023-20026 средней тяжести.

Злоумышленник может использовать уязвимость CVE-2023-20025, отправив поддельный HTTP-запрос на веб-интерфейс управления. Успешная эксплуатация может позволить злоумышленнику “обойти аутентификацию и получить root-доступ к базовой операционной системе", - говорится в предупреждении Cisco.

Получается, что компании известны эти проблемы, но решать их не собирается. Почему? Cisco видит две причины:

• Первая: можно отключить удаленное управление и заблокировать доступ к портам 443 и 60443, что является одним из решений, которое предотвращает эксплуатацию дефектов.

• Другая: срок службы устройств истек. Cisco прекратила поддержку RV082 и RV016 в 2021 году. Программное обслуживание RV042 и RV042G закончилось в том же году, но аппаратное будет поддерживаться до 2025 года.