CVE-2022-20708

Суть уязвимости

Уязвимость в веб-интерфейсе управления маршрутизаторами. Атакующий, имеющий доступ к веб-интерфейсу, может отправить специально сформированный HTTP-запрос. Это позволяет: * Выполнить произвольный код на устройстве с правами root. * Полностью обойти аутентификацию и авторизацию. * Загрузить и запустить неподписанное вредоносное ПО. * Вызвать отказ в обслуживании (DoS).

Как исправить

Установите исправленную версию прошивки, соответствующую вашей модели маршрутизатора.

Процедура обновления: 1. Скачайте файл прошивки с официального сайта Cisco. 2. Войдите в веб-интерфейс маршрутизатора. 3. Перейдите в раздел обновления прошивки (обычно Administration -> Firmware Upgrade). 4. Загрузите скачанный файл и дождитесь перезагрузки устройства.

# Пример для проверки текущей версии через CLI (если доступен):
show version

Временное решение

Если немедленное обновление невозможно, выполните следующие действия:

1. Ограничьте доступ к веб-интерфейсу:

   • В настройках маршрутизатора найдите раздел управления доступом (например, Firewall -> ACL).
   • Создайте правило, разрешающее подключение к веб-интерфейсу только с доверенных IP-адресов (например, адресов вашей сети управления). Все остальные соединения должны блокироваться.

2. Отключите доступ извне (WAN):

   • В настройках веб-интерфейса (Administration -> Management) отключите опции Remote Management или HTTPS/HTTP Access from WAN. Убедитесь, что управление устройством возможно только из локальной сети (LAN).

3. Используйте VPN для доступа:

   • Не открывайте порты веб-интерфейса напрямую в интернет. Для удаленного управления сначала подключайтесь к корпоративной VPN, а затем используйте локальный IP-адрес маршрутизатора.