Cisco komt met patch tegen kritiek beveiligingslek in routers

Het lek stelt aanvallers in staat om met een browser code uit te voeren via de webinterface die wordt gebruikt voor het beheer van een aantal Cisco-routers. De netwerkgigant heeft de bug toegewezen, getagd als CVE-2019-1663. Het gat in de beveiliging kreeg een 'severity-score' van 9,8 uit 10 onder het Common Vulnerability Scoring System (CVSS).

De producten die onmiddellijk een update moeten ondergaan zijn volgens Cisco:

• Cisco RV110W Wireless-N VPN Firewall,
• Cisco RV130W Wireless-N multifunctionele VPN-router
• Cisco RV215W Wireless-N VPN Router

Gegevens niet gevalideerd

Cisco verklaart dat het lek vooral inhoudt dat ingevoerde gegevens in de webbased beheerinterface niet worden gevalideerd, met alle mogelijke gevolgen van dien. "Het beveiligingslek wordt veroorzaakt door onjuiste validatie van door de gebruiker verstrekte gegevens in de webgebaseerde beheerinterface. Aanvallers kunnen misbruik maken van dit beveiligingslek door kwaadaardige HTTP-verzoeken naar een gericht apparaat te verzenden", zo schrijft Cisco in zijn advies.

Volgens de fabrikant kan een succesvolle exploit de aanvaller de mogelijkheid geven om "willekeurige code uit te voeren op het onderliggende besturingssysteem van het betreffende apparaat, als een gebruiker met een hoog privilege." Klanten worden volgens Cisco daarentegen alleen blootgesteld aan de kans op een externe aanval als ze de functie voor extern beheer op de betrokken apparaten hebben ingeschakeld. De functie is standaard uitgeschakeld.

Of het lek in de beveiliging sinds de ontdekking misbruikt is, heeft Cisco niet medegedeeld. Wel is Cisco al een tijdje op de hoogte van het gat: Chinese beveiligingsonderzoekers ontdekten het lek al in de laatste week van oktober 2018. 

De benodigde updates staan klaar in Cisco's Software Center.