Router: Cisco warnt vor Sicherheitslücken, die es nicht patchen wird

Der Netzwerkausstatter Cisco warnt vor schwerwiegenden Sicherheitslücken in mehreren Routern. Derweil existiert bereits Code zur Ausnutzung.

Artikel veröffentlicht am ,
Ein Gebäude von Cisco
Ein Gebäude von Cisco (Bild: DennisM2/CC0 1.0)

In einer Warnung vor kritischen Sicherheitslücken in mehreren Routern von Cisco schreibt der Hersteller, dass er "weder Updates veröffentlicht hat oder veröffentlichen wird" - obwohl bereits Proof-of-Concept-Code für eine der Sicherheitslücken verfügbar sei. Cisco nennt dafür zwei Gründe.

Betroffen sind die vier Small-Business-Routermodelle RV016, RV042, RV042G und RV082. Durch eine fehlerhafte Validierung von Benutzereingaben in eingehenden HTTP-Paketen können Angreifer die Authentifizierung auf den Geräten umgehen (CVE-2023-20025).

"Ein Angreifer könnte diese Sicherheitslücke ausnutzen, indem er eine manipulierte HTTP-Anfrage an die webbasierte Verwaltungsschnittstelle sendet. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, die Authentifizierung zu umgehen und Root-Zugriff auf das zugrunde liegende Betriebssystem zu erlangen", heißt es in der Warnung von Cisco.

Bei einer zweiten Sicherheitslücke (CVE-2023-20026) handelt es sich ebenfalls um ein HTTP-Validierungsproblem, das die Ausführung von Code aus der Ferne ermöglicht - jedoch nur, wenn ein Angreifer bereits über Admin-Zugangsdaten für das Gerät verfügt.

Cisco verweist auf Workaround und EOL

Beide Sicherheitslücken lassen sich nicht ausnutzen, wenn die Angreifer nicht auf die Verwaltungsoberfläche zugreifen können. Daher verweist Cisco auf den Workaround, die beiden Ports 443 und 60443 zu blockieren. Ein Patch werde nicht zur Verfügung gestellt, da die Router bereits ihr Lebensende (End of Life, EOL) erreicht hätten, erklärt Cisco.

Cisco hat laut dem Onlinemagazin The Register den Support für die Router RV082 und RV016 im Jahr 2021 eingestellt, und die Softwarewartung für die Modelle RV042 und RV042G endete im selben Jahr - allerdings wird die Hardware noch bis 2025 unterstützt.

Dabei ist sich Cisco "bewusst, dass Proof-of-Concept-Exploit-Code für die in diesem Hinweis beschriebenen Schwachstellen verfügbar ist", aber "ist sich keiner böswilligen Nutzung der in diesem Hinweis beschriebenen Schwachstellen bewusst". Dabei dürfte es aber nicht bleiben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Künstliche Intelligenz
So funktioniert ChatGPT

Das mächtige Sprachmodell ChatGPT erzeugt Texte, die sich kaum von denen menschlicher Autoren unterscheiden lassen. Wir erklären die Technologie hinter dem Hype.
Ein Deep Dive von Helmut Linde

Künstliche Intelligenz: So funktioniert ChatGPT
Artikel
  1. i4: BMW lässt sich am Berg nicht updaten
    i4
    BMW lässt sich am Berg nicht updaten

    Die Besitzerin eines BMW i4 hat die Fehlermeldung entdeckt, ihr Parkplatz sei zu steil für ein Update der Bordsoftware.

  2. SAP-Chef Christian Klein: Wir werden auch in Deutschland weiter wachsen
    SAP-Chef Christian Klein
    "Wir werden auch in Deutschland weiter wachsen"

    SAP hat die Restrukturierungspläne verteidigt. Der Softwarekonzern aus Walldorf kündigte im Januar einen umfassenden Stellenabbau an.

  3. Entwickler: ChatGPT könnte Google-Job mit 183.000 Dollar Gehalt kriegen
    Entwickler
    ChatGPT könnte Google-Job mit 183.000 Dollar Gehalt kriegen

    Google hat ChatGPT mit Fragen aus seinem Entwickler-Bewerbungsgespräch gefüttert. Die KI könne demnach eine Einsteigerposition erhalten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RAM im Preisrutsch - neue Tiefstpreise! • Powercolor RX 7900 XTX 1.195€ • AMD Ryzen 7 5800X3D 329€ • Nur noch heute TV-Sale mit bis 77% Rabatt bei Otto • Lenovo Tab P11 Plus 249€ • MindStar: Intel Core i7 13700K 429€ • Logitech G915 Lightspeed 219,89€ • PCGH Cyber Week [Werbung]
    •  /