Cisco не намерена исправлять критическую уязвимость в маршрутизаторах

Компания Cisco не будет исправлять критическую уязвимость (CVE-2021-34730) в ряде маршрутизаторов Cisco Small Business Routers, поскольку в 2019 году устройства достигли срока окончания поддержки (End of Life, EOL).

Проблема, получившая оценку в 9,8 балла из максимальных 10 по шкале CVSS, содержится в службе Universal Plug-and-Play (UPnP) маршрутизаторов. Ее эксплуатация позволяет удаленному неавторизованному злоумышленнику выполнить произвольный код или вызвать перезапуск устройства, что приведет к состоянию «отказа в обслуживании» (DoS).

Уязвимость связана с некорректной проверкой входящего UPnP-трафика и может быть проэксплуатирована путем отправки специально созданного UPnP-запроса на уязвимое устройство. Это приведет к удаленному выполнению кода от имени суперпользователя на базовой операционной системе.

«Cisco не выпускала и не будет выпускать обновления программного обеспечения для устранения уязвимости. Маршрутизаторы Cisco Small Business RV110W, RV130, RV130W и RV215W достигли срока окончания поддержки. Клиентам рекомендуется перейти на маршрутизаторы Cisco Small Business RV132W, RV160 или RV160W», — сообщили специалисты.

В отсутствие патча Cisco рекомендует клиентам отключить UPnP в интерфейсе LAN.