Biztonsági hibákat javított a héten routereiben a Cisco. Négy kisvállalati eszközét azonban végleg elengedte: az RV110W Wireless-N VPN tűzfalat, valamint az RV130 VPN, az RV130W Wireless-N Multifunction VPN és az RV215W Wireless-N VPN routereket érintő VPN-hijacking hibára már nem adott ki patch-et, mert a modellek életciklusuk végéhez értek. Gyártásukat 2017-ben állították le, most pedig a támogatásuk is megszűnt.

A Cisco azt javasolja, hogy aki még ilyen eszközt használ, cserélje újabbra – pl. Small Business RV132W, RV160 vagy RV160W modellre –, melyeket nem érint a sérülékenység.

A CVE-2022-20923 jelű biztonsági rés, melyet egy jelszó-érvényesítési algoritmus nem megfelelő implementációja idéz elő, közepes besorolást kapott. Kihasználásával a távoli támadó képes megkerülni az eszköz hitelesítési procedúráját, akár rendszergazdai jogosultságokat is szerezhet, és hozzáférhet az IPSec VPN-hez.

A sérülékenységet azonban csak akkor lehet kihasználni, ha az IPSec VPN-kiszolgáló funkció engedélyezve van. Ezt az eszközök webes kezelőfelületén, a VPN / IPSec VPN Server / Setup pontban lehet ellenőrizni (Server Enable bekapcsolva). Az olyan vállalkozásoknak azonban, melyeknél használnak VPN-t, ez értelemszerűen nem opció. A Cisco termékbiztonsági csapata (Product Security Incident Response Team, PSIRT) egyébként nem talált arra utaló jelet, hogy a sérülékenységet kihasználták volna.

Mivel azonban a hibát a Cisco nyilvánosságra hozta, nagyon valószínű, hogy a kiberbűnözői csoportok igyekeznek kiaknázni a szervezetek lassú reakcióját: a felhasználók szinte mindig némi késéssel reagálnak a gyártók frissítési javaslataira.

A javított sebezhetőségekből kettőt minősítettek magas kockázatúnak. A CVE-2022-28199 kiaknázásával szolgáltatásmegtagadási (DoS) támadás indítható, a CVE-2022-20696 jelzésű pedig a lehetőséget ad üzenetek lehallgatására, hamisítására, illetve az üzenetküldő szolgáltatás konfigurációjának módosítására.

A harmadik javított sérülékenység, a CVE-2022-20863 közepes súlyosságú. A hiba a Webexet érinti: a nem hitelesített távoli támadó módosítja az üzenetküldő felületen található linkeket vagy más tartalmakat például adathalászat vagy üzenethamisítás céljából.

Egy apró kis csetepaté a legacy körül

A négy eszköz támogatásának megszűnése ismét rávilágít a gyártók és felhasználók legacy technológiáról folytatott vitájára: meddig köteles támogatást adni egy vendor az eszközeire? A gyártók általában azt az elvet követik, hogy ha egy termék elért az életciklusa végéhez, frissítést javasolnak (újabb eszköz, szoftver friss verziója stb.).

Nehéz igazságot tenni abban, hogy egy-egy hardvernek, szoftvernek kellően hosszú vagy túl rövid-e az életciklusa. A gyártók szerint nyilván kellően hosszú, a felhasználók egy része szerint indokolatlanul rövid. De akárhogy is, el kell fogadni, hogy előbb vagy utóbb ezeknek a digitális eszközöknek is lejár a szavatossági idejük. A gond azonban az, nyilatkozta egy szakértő a The Registernek, a hardvereknél és szofvereknél ehhez másként viszonyulunk, mint mondjuk dobozos tejnél. Míg utóbbit azonnal öntjük a lefolyóba, ha múltbéli dátumot olvasunk a "Fogyaszható:" felirat után, a hardvereknek és a szoftvereknek nem érezzük a bűzét, tehát még maradhatnak egy kicsit.

Pedig amikor egy gyártó bejelenti terméke életciklusának végét (amit ráadásul évekkel korábban megtesz), az olyan, mintha egy nagy célkeresztet rajzolnának rá. A hekkerek egyből tudják, hogy ezeket a rendszereket jó eséllyel lehet támadni – akár hosszú távon és több hullámban is –, mert nem lesz javítás a sérülékenységeihez.