Компания Cisco исправила три серьезных бага в прошивке интеллектуальных коммутаторов семейства Small Business 220. Уязвимости позволяют обходить механизм аутентификации устройства, запускать на нем сторонний код, а также внедрять команды оболочки и выполнять их с root-привилегиями. Производитель рекомендует всем владельцам уязвимых коммутаторов установить патч или отключить веб-интерфейс.

Наиболее опасный баг связан с некорректной оценкой содержимого пользовательских запросов и проверкой границ области чтения данных. Эксплуатация CVE‑2019‑1913 может привести к переполнению буфера и позволяет нападающему дистанционно выполнить свой код с root-правами. Аутентификации для этого не требуется. Баг получил оценку 9,8 балла по шкале CVSS.

Еще одна критическая уязвимость, CVE‑2019‑1912, дает возможность удаленному злоумышленнику в обход аутентификации загружать на устройство вредоносные файлы. Результатом атаки может стать изменение настроек уязвимого оборудования или бэкконнект к серверу, принадлежащему киберпреступникам. Баг получил от экспертов 9,1 балла по шкале CVSS.

Эксплуатация уязвимости, зарегистрированной как CVE‑2019‑1914, позволяет нападающему выполнять на устройстве вредоносные команды с root-привилегиями. Некорректная обработка HTTP(S)-запросов в адрес веб-интерфейса коммутатора дает возможность злоумышленнику с правами пользователя внедрить в передаваемый пакет свои команды и запустить их в рамках оболочки. Поскольку атака требует авторизации в системе, ей присвоен рейтинг опасности 7,2 балла.

Все три проблемы присутствуют в коммутаторах Cisco Small Business серии 220 с прошивкой версии ниже 1.1.4.4 и включенным веб-интерфейсом. Воспользоваться ими злоумышленники могут, отправив вредоносный HTTP(S)-запрос к уязвимому интерфейсу.

В июле Cisco уже выпускала заплатки для коммуникаторов серии Small Business — комплект патчей для устройств линеек 200, 300 и 500 закрывал два бага, которые могли привести к отказу в обслуживании. Одна ошибка относилась к SSL-обработчику, а другая, так же как и в случае со Small Business 220, присутствовала в веб-интерфейсе прибора.

Категории: Уязвимости