Cisco, desteği sona ermiş (EoL) Small Business RV016, RV042, RV042G ve RV082 yönlendiricilerini etkileyen iki güvenlik açığı konusunda uyardı ve kavram kanıtının (PoC) public olarak yayınlanmasına rağmen güncelleme yayınlanmayacağını belirtti. Zafiyetin istismar edilmesi, web tabanlı yönetim arabirimine özel olarak hazırlanmış bir HTTP isteği göndererek kimlik doğrulamasını atlayarak ve yükseltilmiş izinler alarak sistem üzerine tam yetkiye sahip olabiliyor.
Cisco yaptığı açıklamada “Cisco, güvenlik açıklarını gidermek için yazılım güncellemeleri yayınlamadı ve yayınlamayacak” dedi ve kullanım ömrü sona ermiş cihazların yeni cihazlar ile değiştirilmesini önerdi. Geçici çözüm olarak, uzaktan yönetimi devre dışı bırakmaları ve 443 ve 60443 numaralı bağlantı noktalarına erişimi engellemeleri tavsiye etti.
Kaynak: thehackernews.com