CVE-2022-20701

Cisco Small Business RV160, RV260, RV340, and RV345 Series Routers

ВЕРОЯТНОСТЬ 6.1%
Дата обнаружения

2022-03-03

Официальное описание

A vulnerability in Cisco Small Business RV160, RV260, RV340, and RV345 Series Routers could allow an attacker to do any of the following: Execute arbitrary code elevate privileges, execute arbitrary commands, bypass authentication and authorization protections, fetch and run unsigned software, or cause a denial of service (DoS).

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CWE-121) в веб-интерфейсе управления маршрутизаторами позволяет удаленному злоумышленнику, не прошедшему аутентификацию, отправить специально созданный HTTP-запрос. Это приводит к переполнению стека в процессе httpd, что дает злоумышленнику возможность: * Выполнить произвольный код на устройстве. * Повысить привилегии. * Выполнить произвольные команды. * Обойти механизмы аутентификации и авторизации. * Загрузить и запустить неподписанное ПО. * Вызвать отказ в обслуживании (DoS).

Как исправить

Установите исправленную версию прошивки для вашей модели маршрутизатора.

  1. Определите текущую версию ПО:

    • Войдите в веб-интерфейс маршрутизатора.
    • Перейдите в раздел Administration > Firmware Management.
    • Запишите номер версии в строке Current Firmware Version.

  2. Загрузите и установите патч:

    • Скачайте исправленную версию прошивки с официального сайта Cisco для вашей модели:
      • RV160, RV260, RV340, RV345: Версия 1.0.01.02 или новее.
    • В том же разделе Administration > Firmware Management нажмите Browse..., выберите скачанный файл и нажмите Update Firmware.
    • Важно: Не прерывайте процесс обновления и не выключайте устройство.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничьте доступ к веб-интерфейсу:

    • В разделе Firewall > Access Rules создайте правило, запрещающее входящие подключения из внешних сетей (WAN) к IP-адресу маршрутизатора на порты веб-управления (по умолчанию HTTP/80, HTTPS/443).
    • Пример правила (блокировка с WAN): Action: Deny Services: HTTP, HTTPS Source Interface: Any (WAN) Destination Interface: Any (DMZ/LAN) Destination IP: <IP-адрес вашего маршрутизатора в LAN>
    • Оставьте доступ к веб-интерфейсу только с доверенных внутренних сетей (LAN).

  2. Используйте VPN для доступа к управлению:

    • Отключите прямой доступ к веб-интерфейсу с WAN.
    • Настройте VPN-сервер (например, IPsec) на маршрутизаторе.
    • Для управления подключайтесь к внутренней сети через VPN, а затем обращайтесь к веб-интерфейсу по локальному адресу.

Примечание: Временные решения лишь снижают поверхность атаки, но не устраняют уязвимость. Обновление прошивки — обязательная мера.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей