تعرض العيوب أجهزة توجيه الأعمال الصغيرة من Cisco والجدران النارية لقرصنة

يحتوي ثلاثة نماذج من جُدر الحماية والموجهات اللاسلكية من شبكات Cisco اللاسلكية من سلسلة RV للأعمال الصغيرة على ثغرة حرجة غير مقررة يمكن للمهاجمين استغلالها عن بعد للتحكم في الأجهزة.

تقع الثغرة الأمنية في واجهة الإدارة القائمة على الويب لجدار الحماية Cisco RV110W Wireless-N VPN ، و RV130W Wireless-N Multifunction VPN Router و RV215W Wireless-N VPN Router.

يمكن استغلاله بسهولة إذا كان المتأثر يتم تكوين الأجهزة للإدارة عن بعد لأن المهاجمين فقط بحاجة إلى إرسال طلب HTTP لم تتم مصادقته مع بيانات المستخدم المخصصة. سيؤدي ذلك إلى تنفيذ التعليمات البرمجية عن بعد كجذر ، وهو أعلى حساب مميز على النظام ، ويمكن أن يؤدي إلى حل وسط كامل. الثغرة الأمنية في يوم الأربعاء ، ولكن لم تتوفر أي تصحيحات بعد. وتخطط الشركة لتحرير تحديثات البرامج الثابتة التي ستعالج هذا الخلل في النماذج المتأثرة في وقت ما في الربع الثالث من عام 2016.

والأسوأ من ذلك ، ليس هذا هو الثغرة الوحيدة غير الموجودة في أجهزة سيسكو الثلاثة هذه. كما حذرت الشركة من عيب خطي متوسط ​​في شدة الموقع (XSS) وتدفقات عازلة متوسطة المخاطر يمكن أن تؤدي إلى ظروف رفض الخدمة.

بينما يستلزم تجاوز سعة المخزن المؤقت للمهاجمين الحصول على مصادقة جلسة العمل على واجهة الويب الخاصة بالجهاز ، يمكن تشغيل ثغرة XSS عن طريق خداع المستخدمين الموثوق بهم للنقر على عناوين URL تم تصميمها خصيصًا.

"قد يسمح استغلال ناجح للمهاجم بتنفيذ نصوص عشوائية في سياق الإدارة المستندة إلى الويب واجهة الجهاز أو السماح للمهاجم بالوصول إلى المعلومات الحساسة المستندة إلى المستعرض ، "Cisco قال في أحد النصائح.

العيب XSS يجعل من الصعب على المستخدمين العثور على استراتيجية التخفيف في غياب التصحيحات ، لأنه يمكن دمجها مع نقاط الضعف الأخرى. على سبيل المثال ، إذا قام المستخدمون بتعطيل الإدارة الخارجية في أجهزتهم من أجل حمايتهم من الثغرة الحرجة ، فستظل الأجهزة معروضة من خلال الخلل في البرمجة عبر المواقع.