Cisco oʻz mahsulotlaridagi muhim zaiflikni tuzatdi.
Muammo birinchi marta olti oy oldin ma’lum bo’lgan, ammo kompaniya o’z mijozlarini faqat hozir ogohlantirdi.
Cisco korporativ mijozlarini simsiz VPN routerlari va xavfsizlik devorlarida tajovuzkorning tarmoqni buzishiga imkon beradigan muhim zaiflik haqida ogohlantirdi. Ushbu zaiflikdan foydalanib, tajovuzkor zaif qurilmaning veb-interfeysi orqali istalgan brauzerda ixtiyoriy kodni bajarishi mumkin. Muammo Cisco RV110W Wireless-N VPN xavfsizlik devori, Cisco RV130W Wireless-N ko’p funksiyali VPN routeri va Cisco RV215W Wireless-N VPN routeriga ta’sir qiladi. Zaiflik (CVE-2019-1663) veb-ilova tomonidan qurilma boshqaruv interfeysida foydalanuvchi tomonidan kiritilgan ma’lumotlarning yetarlicha tasdiqlanmaganligi bilan bog’liq. Tajovuzkor qurilmaga zararli HTTP so’rovini yuborishi, imtiyozli foydalanuvchi huquqlari bilan ixtiyoriy kodni bajarishi va operatsion tizimni boshqarish huquqini qo’lga kiritishi mumkin. Muammo masofaviy qurilma boshqaruv funksiyasini yoqgan (sukut bo’yicha o’chirilgan) foydalanuvchilarga ta’sir qiladi.
Cisco ushbu zaiflik haqiqiy hujumlarda ishlatilganmi yoki yo’qmi, oshkor qilmadi, ammo bu haqda deyarli olti oydan beri ma’lum bo’lib kelgan – xitoylik xavfsizlik tadqiqotchilari bu haqda o’tgan yilning oktyabr oyida bo’lib o’tgan GeekPwn konferensiyasida ma’lum qilishgan.
Muammo RV110W Wireless-N VPN xavfsizlik devori uchun 1.2.2.1, RV130W Wireless-N ko’p funksiyali VPN router uchun 1.0.3.45 va RV215W Wireless-N VPN router uchun 1.3.1.1 dasturiy ta’minot versiyalarida hal qilindi.
