Voorlopig wordt het lek nog niet door hackers misbruikt volgens Cisco. Op een software-update moet je niet hopen, ondanks dat twee toestellen nog worden ondersteund.
Vier modellen binnen de Cisco Small Business line-up van VPN-routers zijn vatbaar voor het lek: RV016, RV042, RV042G en RV082. Qihoo 360 Netlab heeft het lek (DVE-2023-20025) gevonden. Het probleem zit hem in de foute validatie van gebruikersinput binnen inkomende HTTP-pakketten. Aanvallers kunnen die misbruiken door specifiek ontwikkelde HTTP-code te zenden naar de webconsole. Hiermee krijgen ze toegang tot root, de kern van het toestel.
Gekoppeld met een ander lek (CVE-2023-2002) binnen de Cisco VPN-router, kunnen hackers arbitraire commando’s uitvoeren op onderliggende besturingssystemen.
Ondanks dat beide lekken als kritiek worden aanschouwd, laat Cisco weten dat het niet aan een software-update werkt om de kwetsbaarheid te mitigeren. Er is volgens de netwerkgigant ook nog geen bewijs dat de hack in de praktijk wordt misgebruikt.
Poort 443 en 60443 blokkeren
De Cisco RT016 en RV082 VPN-routers werden voor het laatst verkocht begin 2016 volgens The Register. Wat betreft de RV042- en RV042G-routers ligt het wat gevoeliger dat Cisco niets doet. Deze modellen werden nog tot begin 2020 verkocht en genieten nog tot begin 2025 ondersteuning.
Er is geen manier om het probleem zelf aan te pakken. Het enige wat je kan doen als IT-admin, is de toegang blokkeren tot poorten 443 en 60443 om het lek geen kans te geven. Via deze link leidt Cisco je doorheen de stappen die nodig zijn om opnieuw veiliger te werken. De getroffen routers blijven toegankelijk na het blokkeren van beide poorten.
Eind vorig jaar werd er ook al een lek gevonden in oudere VPN-routers van het type RV110W, RV130, RV130W en RV215W. Daar was het probleem groter en luidde het advies om een nieuwe router te kopen.