[English]Beim Netzwerkausrüster Cisco bzw. dessen Kunden brennt aktuell die Hütte. Denn Cisco hat zum 2. Februar 2022 einen Sicherheitshinweis bezüglich seiner Small-Business-Router (SMB) veröffentlicht, der es in sich hat. In deren Firmware klaffen mehrere Sicherheitslücken, von denen drei CVEs als kritisch mit einem Index 10/10 klassifiziert wurden. Es betrifft wohl Cisco Small Business Router der RV160-, RV260-, RV340- und RV345-Serie.
Anzeige
Cisco listet in dieser Sicherheitswarnung die Details der Schwachstellen für die Small Business Router der RV160-, RV260-, RV340- und RV345-Serie auf:
- Execute arbitrary code
- Elevate privileges
- Execute arbitrary commands
- Bypass authentication and authorization protections
- Fetch and run unsigned software
- Cause denial of service (DoS)
Cisco hat Software-Updates veröffentlicht, die diese Schwachstellen beheben. Die Schwachstellen CVE-2022-20700, CVE-2022-20702, CVE-2022-20703, CVE-2022-20704, CVE-2022-20705 und CVE-2022-20706 betreffen die folgenden Cisco-Produkte:
- RV160 VPN Routers
- RV160W Wireless-AC VPN Routers
- RV260 VPN Routers
- RV260P VPN Routers with PoE
- RV260W Wireless-AC VPN Routers
- RV340 Dual WAN Gigabit VPN Routers
- RV340W Dual WAN Gigabit Wireless-AC VPN Routers
- RV345 Dual WAN Gigabit VPN Routers
- RV345P Dual WAN Gigabit POE VPN Routers
Die Schwachstellen CVE-2022-20699, CVE-2022-20701, CVE-2022-20707, CVE-2022-20708, CVE-2022-20709, CVE-2022-20710, CVE-2022-20711, CVE-2022-20712 and CVE-2022-20749 betreffen nur die folgenden Cisco-Produkte:
- RV340 Dual WAN Gigabit VPN Routers
- RV340W Dual WAN Gigabit Wireless-AC VPN Routers
- RV345 Dual WAN Gigabit VPN Routers
- RV345P Dual WAN Gigabit POE VPN Routers
Es gibt keine Workarounds, die diese Schwachstellen beheben. CVE-2022-20699, CVE-2022-20700 und CVE-2022-20708 besitzen einen CVSS Base Score von 10.0. Cisco hat die Details zu den jeweiligen Schwachstellen sowie Software-Updates für diverse Geräte veröffentlicht. Wer solche Geräte im Einsatz hat, sollte sich schnellstmöglich um Firmware-Updates kümmern.
Anzeige
Anzeige
Schön das es neue Firmware gibt für den RV340 ist dass die 1.0.03.26
damit ist dann die VPN Funktion defekt.
Bei der 1.0.03.24 ist VPN kaputt und über den WAN Ports kommt nichts mehr rein.
Will man also einen Funktionsfähigen Router haben muss man bei der 1.0.03.22 bleiben … Bugs hin, Bugs her! Cisco baut gerade richtig viel scheiße, ganz zufällig erst in der Masse wo man über Nacht alle Modelle auf EOL gesetzt hat obwohl die noch einige Jahre verkauft hätten sollen. Jetzt zwingt man die Kundschaft durch selbstzerstörerischer Firmware wohl zum schnellen wechsel im letzen Jahr wo noch Updates kommen.
Das Cisco Forum ist voll von Meldungen über Bugs in der ..x.24 und ..x.26 Firmware die das Gerät praktisch unbenutzbar machen und trotzdem bietet man dieses weiter an statt die Reißleine zu ziehen. Zumindest "sicher" ist man jetzt vor einem Update da Cisco weiter den Rotstift ohne wirkliche Vorwarnung angesetzt hat. Seit 1.3 sind alle Auto-Update Server abgeschaltet worden für die Serie. Downgrade auf wenigstens die noch lauffähige und dann eben mit Sicherheitslöchern versehenen Version ..x.22 werden auch nicht unterstützt. Man kann dann nur noch über die Backup-Firmware booten falls man diese noch nicht auch aktualisiert hat.