CVE-2022-20699

Суть уязвимости

Уязвимость (CVSS 9.8) в веб-интерфейсе управления маршрутизаторами. Атакующий может отправить специально сформированный HTTP-запрос, не проходя аутентификацию. Это позволяет: * Выполнить произвольный код на устройстве с правами root. * Полностью обойти проверку логина и пароля. * Вызвать отказ в обслуживании (DoS).

Как исправить

Установите исправленную версию прошивки для вашей модели:

Порядок действий: 1. Скачайте файл прошивки с официального сайта Cisco для вашей модели. 2. В веб-интерфейсе маршрутизатора перейдите в раздел обновления (например, Administration > Firmware Management). 3. Загрузите и установите новый файл прошивки. 4. После перезагрузки устройства проверьте текущую версию на главной странице интерфейса.

Временное решение

Если немедленное обновление невозможно, примите следующие меры: * Ограничьте доступ к веб-интерфейсу: Настройте правила брандмауэра на маршрутизаторе, чтобы разрешить доступ к порту управления (по умолчанию 443/HTTPS) только с доверенных IP-адресов (например, из сети администратора). # Пример концепции правила (конкретный синтаксис зависит от модели): # Разрешить HTTPS только с IP 192.168.1.100 access-list OUTSIDE-IN permit tcp host 192.168.1.100 any eq 443 access-list OUTSIDE-IN deny tcp any any eq 443 interface gigabitEthernet 0/0 ip access-group OUTSIDE-IN in * Отключите удаленный доступ: Если это допустимо, полностью отключите доступ к веб-интерфейсу из внешней сети (WAN) в настройках маршрутизатора (Firewall > Basic Settings > Block WAN access to GUI или аналогичный пункт). * Используйте VPN: Настройте VPN (например, IPsec) для доступа во внутреннюю сеть. Управляйте устройством только после подключения через VPN.