Новости и события » Общество » Cisco случайно оставила в прошивке своих маршрутизаторов ключи шифрования

Cisco случайно оставила в прошивке своих маршрутизаторов ключи шифрования

Cisco случайно оставила в прошивке своих маршрутизаторов ключи шифрования

Исследователи безопасности обнаружили ряд уязвимостей в прошивке нескольких маршрутизаторов Cisco для малого бизнеса. Проблемы, затрагивающие двухгигабитные маршрутизаторы WAN VPN Cisco RV320 и RV325, связаны с наличием вшитых хэшей паролей, а также статические сертификаты X.509 с соответствующими парами открытых и закрытых ключей и одним статическим ключом Secure Shell (SSH).

Статические ключи встроены в прошивку маршрутизатора и используются для предоставления доступа по HTTPS- и SSH-протоколам к уязвимым маршрутизаторам. Таким образом все устройства с уязвимой прошивкой используют одинаковые ключи.

По словам представителей Cisco, инженеры компании случайно оставили в прошивке сертификаты и ключи, которые применялись для тестирования программного обеспечения. Наличие статического ключа SSH Cisco пояснила присутствием пакета Tail-f Netconf ConfD в прошивке. Как сообщает Cisco, SSH-аутентификация на основе ключей не поддерживается ни в одной из версий данной прошивки.

"Злоумышленник с доступом к базовой операционной системе на уязвимом устройстве может использовать проблему для получения привилегий суперпользователя. Однако в настоящее время Cisco неизвестно о методах, позволяющих получить доступ к базовой операционной системе на данных маршрутизаторах", - отмечают специалисты Cisco.

Cisco удалила статические сертификаты, ключи и вшитую учетную запись пользователя в версиях прошивки 1.5.1.05 и ниже для маршрутизаторов WAN VPN RV320 и RV325.

Похожие проблемы также были обнаружены в прошивке маршрутизаторов Cisco Small Business RV серии RV016, RV042, RV042G и RV082. Проблема была связана с сертификатом X.509 и соответствующей парой открытых/закрытых ключей, выданным тайваньскому производителю сетевого оборудования QNO Technology. Уязвимость ( CVE-2019-15271 ) получила оценку в 8,8 балла из 10 по шкале CVSS и ее эксплуатация в web-интерфейсе маршрутизаторов позволяет авторизованному злоумышленнику удаленно выполнять вредоносные команды с привилегиями суперпользователя.

Cisco исправила данную проблему в версии прошивки 4.2.3.10.


Бензопила Mächtz: надежность и производительность для любых задач

Бензопила Mächtz: надежность и производительность для любых задач

Бензопилы являются незаменимым инструментом как для профессионалов, так и для тех, кто занимается бытовыми работами на участке. Если вы ищете высококачественную бензопилу, которая сочетает в себе надежность, мощность и удобство в использовании, стоит...

сегодня 11:27

Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх