Beheer

Security
Cisco RV042 Dual WAN VPN router

Cisco legt pijnlijk probleem bloot door lekken in oudere routers te negeren

Prima werkende router gaat niet snel bij het oud vuil.

Cisco RV042 Dual WAN VPN router © Cisco
16 januari 2023

Prima werkende router gaat niet snel bij het oud vuil.

Cisco maakt bekend dat het een kwetsbaarheid in een aantal modellen van zijn routers voor het midden- en kleinbedrijf niet gaat repareren. De reden is dat er een manier is om het beveiligingsprobleem af te dekken en bovendien zijn de routers - volgens Cisco - aan het eind van hun levensduur. De vraag is of de bedrijven die de routers in gebruik hebben, in staat zijn de workaround in te stellen én of zij zich bewust zijn dat de ondersteuning door de fabrikant eindigt.

Een pc die een aantal jaar na aankoop niet meer wordt ondersteund door de leveranciers van de hard- en software van het apparaat, is doorgaans ook niet erg geschikt meer voor werk in een zakelijke omgeving. Het apparaat wordt traag. Bovendien zullen de softwaremakers er regelmatig met pop-ups op wijzen dat het besturingssysteem of de applicaties kwetsbaar zijn omdat er geen beveiligingsupdates meer worden verstrekt.

Bij een router gaat dat meestal anders. Als die werkt, blijft het apparaat doorgaans heel lang onopgemerkt zijn werk doen. Bij grotere ondernemingen die aan goed beheer van hun ICT-infrastructuur doen, is er wellicht periodiek aandacht voor de status ervan. Maar juist bij kleinere ondernemingen zonder eigen IT-afdeling krijgt netwerkapparatuur weinig aandacht. Dat gebeurt in de regel pas als die systemen storingen gaan veroorzaken.

Deze situatie geeft kwaadwillenden een uitgelezen kans eens een kijkje te nemen op het bedrijfsnetwerk, bijvoorbeeld door gebruik te maken van CVE-2023-20025 en CVE-2023-20026. De eerste stelt een aanvaller in staat zonder authenticatie binnen te dringen op een apparaat met de betreffende kwetsbaarheid. Er vindt namelijk geen goede gebruikersvalidatie plaats op de binnenkomende http-packets. De aanvaller kan met een aantal gemanipuleerde pakketjes uiteindelijk de controle over de router krijgen.

Ook CVE-2023-20026 betreft een probleem met authenticatie van http-pakketjes, maar kan alleen worden benut als de aanvaller ook beheerdersrechten heeft op het betreffende apparaat, beschrijft leverancier Cisco.

Hardware nog ondersteund tot 2025

De Cisco-routers waarin het probleem zich voordoet, betreft de modellen RV016, RV042, RV042G en RV082. De ondersteuning van RV082 en RV016 is al in 2021 verlopen, net als de softwarematige ondersteuning van RV042 en RV042G. Cisco ondersteunt deze hardware echter nog tot 2025.

Deze situatie is voor Cisco reden om de twee kwetsbaarheden wél te melden, maar er geen moeite meer in te steken om de kwetsbaarheden softwarematig te repareren. De routerproducent geeft wel aan dat er een manier is om het probleem af te dekken, namelijk door de poorten 443 en 60443 te blokkeren.

Exploit bekend

Zoals The Register terecht signaleert op basis van commentaren van IT-beveiligingsbedrijven zijn het juist de kleine bedrijven die niet bekend staan om hun vaardigheden en zorgvuldigheid op het gebied van informatiebeveiliging. Als het nog werkt, werkt het, luidt dan de redenering. Verder is het maar de vraag of er iemand in het bedrijf weet hoe poorten 443 en 60443 kunnen worden geblokkeerd.

Cisco stelt dat er een exploit voor de kwetsbaarheden bekend is, maar dat er nog geen gevallen zijn gemeld waarin deze buiten securitylabs in praktijk zijn toegepast. De vraag is hoe lang dat nog duurt. 

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.