జీవితాంతం స్మాల్ బిజినెస్ RV016, RV042, RV042G, మరియు RV082 రౌటర్లను ప్రభావితం చేసే రెండు భద్రతా బలహీనతల గురించి సిస్కో హెచ్చరించింది, ఇది ప్రూఫ్-ఆఫ్-కాన్సెప్ట్ ఎక్స్ప్లోయిట్ యొక్క పబ్లిక్ లభ్యతను గుర్తించినందున వాటి ప్రకారం స్థిరంగా ఉండవు.
సిస్కో యొక్క సమస్యలు రౌటర్ల వెబ్-ఆధారిత నిర్వహణ ఇంటర్ఫేస్లో ఉన్నాయి, ఇది అంతర్లీన ఆపరేటింగ్ సిస్టమ్పై హానికరమైన ఆదేశాలను ప్రామాణీకరణను పక్కదారి పట్టించడానికి రిమోట్ విరోధిని అనుమతిస్తుంది.
రెండింటిలో తీవ్రమైనది CVE-2023-20025 (CVSS స్కోర్: 9.0) అనేది ఇన్కమింగ్ HTTP ప్యాకెట్లలో వినియోగదారు ఇన్పుట్ యొక్క సరికాని ధృవీకరణ యొక్క ఫలితం.
ప్రామాణీకరణను దాటవేయడానికి మరియు ఎలివేటెడ్ అనుమతులను పొందడానికి హాని కలిగించే రూటర్ల వెబ్ ఆధారిత నిర్వహణ ఇంటర్ఫేస్కు ప్రత్యేకంగా రూపొందించిన HTTP అభ్యర్థనను పంపడం ద్వారా ముప్పు నటుడు దానిని దుర్వినియోగం చేయవచ్చు.
CVE-2023-20026 (CVSS స్కోర్: 6.5)గా ట్రాక్ చేయబడిన రెండవ లోపానికి తగిన ధ్రువీకరణ లేకపోవడమే కారణం, ఇది చెల్లుబాటు అయ్యే అడ్మిన్ ఆధారాలతో దాడి చేసే వ్యక్తిని రూట్-స్థాయి అధికారాలను పొందడానికి మరియు అనధికారిక డేటాను యాక్సెస్ చేయడానికి అనుమతిస్తుంది.
దుర్బలత్వాలను పరిష్కరించడానికి సిస్కో ఎటువంటి సాఫ్ట్వేర్ నవీకరణలను విడుదల చేయలేదు. RV016, RV042, RV042G మరియు RV082 రూటర్ల వంటి సిస్కో స్మాల్ బిజినెస్ ఎండ్ ఆఫ్ లైఫ్ ప్రాసెస్లోకి ప్రవేశించింది.
నిర్వాహకులు రిమోట్ మేనేజ్మెంట్ని నిలిపివేయాలని మరియు పోర్ట్లు 443 మరియు 60443కి యాక్సెస్ను బ్లాక్ చేయాలని సిఫార్సు చేస్తున్నారు.
Cisco వారి స్వంత వాతావరణంలో మరియు వారి స్వంత వినియోగ పరిస్థితులలో వర్తించే మరియు ప్రభావాన్ని నిర్ణయించమని వినియోగదారులను హెచ్చరిస్తోంది.
Qihoo 360 Netlab యొక్క Hou Liuyang లోపాలను కనుగొని, సిస్కోకు నివేదించిన ఘనత పొందింది.
నెట్వర్క్ ఎక్విప్మెంట్ మేజర్ అడవిలో PoC కోడ్ గురించి తెలుసుకున్నప్పటికీ, వాస్తవ ప్రపంచ దాడులలో దుర్బలత్వం యొక్క హానికరమైన వినియోగాన్ని గమనించలేదని పేర్కొంది.