Cisco пропатчила критическую уязвимость в решении Prime Home, позволяющем сервис-провайдерам удаленно управлять домашними сетями подписчиков и обеспечивать их нормальное функционирование.

Данная брешь, найденная в ходе внутреннего аудита кодовой базы, крылась в графическом веб-интерфейсе пользователя и позволяла удаленно получить административный доступ к чужим сетям в обход аутентификации. «Эта уязвимость вызвана ошибкой обработки при ролевом управлении доступом (RBAC) к URL, — сказано в бюллетене Cisco. — Злоумышленник может воспользоваться этой уязвимостью, посылая API-команды по HTTP на конкретный URL без предварительной аутентификации. Эксплуатация позволит атакующему выполнять любые действия в Cisco Prime Home с привилегиями администратора».

По данным Cisco, уязвимыми являются версии 6.3, 6.4 и 6.5 программного продукта; администраторам рекомендуется произвести обновление до сборки 6.5.0.1. Активных атак на эту уязвимость пока не обнаружено.

Согласно описанию Cisco Prime Home на сайте разработчика, этот пакет включает ряд инструментов для клиентской поддержки и обеспечивает видимость состояния всех подключенных устройств в подопечной домашней сети. Подобная точка обзора весьма привлекательна для злоумышленника, а права администратора открывают ему доступ к устройствам и позволяют изменять настройки, перенаправлять трафик и совершать множество других вредоносных действий.

Для взаимодействия с клиентскими устройствами Prime Home использует протокол TR-069, спецификации которого определяют порядок коммуникаций оборудования, расположенного в помещении клиента, с сервером автоматического конфигурирования, каковым и является Cisco Prime Home. Выступая на конференции DEFCON в 2014 году, эксперт Check Point Шахар Тал (Shahar Tal) доложил о возможности использования TR-069 для атак на резидентные роутеры и интернет-шлюзы.

Cisco патчит Prime Home уже второй раз за последние три месяца. В начале ноября в этом продукте была закрыта аналогичная возможность обхода аутентификации. Уязвимость CVE-2016-6452 тоже крылась в веб-интерфейсе GUI и в случае эксплойта обеспечивала атакующим привилегии администратора.

Категории: Уязвимости