قامت Cisco بطرح إصلاحات لثغراتية متعددة في واجهة الإدارة القائمة على الويب لأجهزة التوجيه التجارية الصغيرة التي يمكن أن تسمح للمهاجم عن بُعد غير مصادفة بتنفيذ التعليمات البرمجية التعسفية كمستخدم جذر على جهاز مصاب.
ال عيوب -تم تتبعه من CVE-2021-1289 إلى CVE-2011-1295 (CVSS SCORE 9.8)-Impact RV160 ، RV160W ، RV260 ، RV260P ، و RV260W VPN Routers الذي يدير إصدارًا ثابتًا في وقت سابق من الإصدار 1.0.01.02.
جنبا إلى جنب مع ثلاث نقاط الضعف المذكورة أعلاه ، تم إصدار بقع أيضا لاثنين آخرين ملف تعسفي كتابة العيوب (CVE-2021-1296 و CVE-2011-1297) تؤثر على نفس مجموعة أجهزة التوجيه VPN التي كان من الممكن أن تتيح للخصم أن تكتب الملفات التعسفية على النظام الضعيف.
تم الإبلاغ عن جميع المشكلات الأمنية التسع إلى صانع معدات الشبكات من قبل الباحث الأمني Takeshi Shiomitsu ، الذي كشف سابقًا عيوب حرجة مماثلة في RV110W و RV130W و RV215W التي يمكن الاستفادة منها لهجمات تنفيذ الرمز البعيد (RCE).
في حين أن التفاصيل الدقيقة لثغرات الضعف لا تزال غير واضحة ، قال سيسكو العيوب –
- CVE-2021-1289 ، CVE-2021-1290 ، CVE-2021-1291 ، CVE-2021-1292 ، CVE-2021-1293 ، CVE-2021-1294 ، و CVE-2021-1295 هي نتيجة للتحقق غير السليم من طلبات HTTP ، مما يسمح للمهاجم بصياغة طلب HTTP المصنوع خصيصًا إلى واجهة الإدارة المستندة إلى الويب وتحقيق RCE.
- CVE-2011-1296 و CVE-2011-1297 ترجع إلى عدم كفاية التحقق من صحة المدخلات ، مما يسمح للمهاجم باستغلال هذه العيوب باستخدام واجهة الإدارة المستندة إلى الويب لتحميل ملف إلى موقع لا ينبغي لهم الوصول إليه.
بشكل منفصل ، مجموعة أخرى من خمسة خلل (CVE-2021-1314 من خلال CVE-2011-1318) في واجهة الإدارة القائمة على الويب لأعمال الأعمال الصغيرة RV016 و RV042 و RV042G و RV082 و RV320 و RV325 كان من الممكن أن تمنح المهاجم القدرة على حقن أوامر التعريفية على المجاور التي تم تنفيذها مع ROUILITES.
أخيرًا ، تناولت Cisco أيضًا 30 نقاط الضعف إضافية (CVE-2011-1319 من خلال CVE-2011-1348) ، مما يؤثر على نفس مجموعة المنتجات ، التي يمكن أن تسمح للمهاجم البعيد المصادق عليه بتنفيذ التعليمات البرمجية التعسفية وحتى التسبب في حالة رفض الخدمة.
وقالت سيسكو في أحد الاستشارات التي نشرت في 3 فبراير “لاستغلال نقاط الضعف هذه ، سيحتاج المهاجم إلى وجود بيانات اعتماد صالحة للمسؤول على الجهاز المتأثر”.
كاي تشنغ من معهد هندسة المعلومات ، الذي يعد جزءًا من الأكاديمية الصينية للعلوم ، تم الفضل في الإبلاغ عن العيوب الـ 35 في واجهة إدارة جهاز التوجيه.
لاحظت الشركة أيضًا أنه لا يوجد دليل على وجود محاولات استغلال نشطة في البرية لأي من هذه العيوب ، ولا يوجد أي حلول تعالج نقاط الضعف.
