Cisco
hat mit dem letzten Schwung von Security-Advisories auch eine kritische
Schwachstelle in einer Serie von Routern, die vor allem in kleineren
Betrieben zum Einsatz kommen, dokumentiert. Cisco will keine Updates
mehr bereitstellen, da diese Router das Ende ihrer Lebenszeit erreicht
haben. Der Hersteller empfiehlt stattdessen den Betroffenen, doch
die Nachfolgemodelle anzuschaffen.
Die Modelle RV110W, RV130, RV130W und RV215W sind konkret von der
Lücke betroffen. Diese lässt sich durch spezielle HTTP-Pakete
an das Gerät ausnutzen und beschert dem Angreifer dann unmittelbar
Root-Rechte. Wenn die Fernwartung übers Internet aktiviert
ist, funktioniert dies auch über das WAN-Interface.
Diese Lücke (CVE-2021-1459)
siedelt Cisco im höchsten Schweregrad "kritisch"
an (CVSS: 9.8 von 10). Aufgrund dessen das Cisco Updates kategorisch
ausschließt ("has not released and will not release")
und auch keine Workarounds benennt, mit den die betroffenen Geräte
zumindest provisorisch abgesichert werden können, bleibt den
Betroffenen nicht viel anderes, als diese schnellstmöglich
auszumustern.
(hv, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|