Categories: Netzwerke

Cisco: Kein Patch für Zero-Day-Lücke in nicht mehr unterstützten VPN-Routern

Cisco hat angekündigt, dass es keine Software-Updates für eine kritische Schwachstelle im Universal Plug-and-Play (UPnP) Service in den Small-Business-Routern RV110W, RV130, RV130W und RV215W veröffentlichen wird, da diese Produkte offiziell ihr End-of-Life erreicht haben. Die Schwachstelle ermöglicht es entfernten Angreifern, ohne Authentifizierung beliebigen Code auszuführen oder ein betroffenes Gerät unerwartet neu zu starten, was zu einer Denial-of-Service-Situation (DoS) führt.

„Diese Schwachstelle ist auf eine unsachgemäße Validierung des eingehenden UPnP-Datenverkehrs zurückzuführen. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine manipulierte UPnP-Anfrage an ein betroffenes Gerät sendet. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, beliebigen Code als Root-User auf dem zugrundeliegenden Betriebssystem auszuführen oder das Gerät neu zu starten“, so Cisco in einer Sicherheitswarnung.

„Cisco hat keine Software-Updates veröffentlicht, die diese Sicherheitslücke beheben. Es gibt keine Workarounds, die diese Schwachstelle beheben“, ergänzte das Unternehmen. Die Schwachstelle betrifft die Router der RV-Serie nur, wenn UPnP aktiviert wurde. Der Dienst ist ab Werk auf der LAN-Schnittstelle aktiv, auf der WAN-Schnittstelle jedoch inaktiv.

Um herauszufinden, ob die UPnP-Funktion auf der LAN-Schnittstelle eines Geräts aktiviert ist, sollten die Benutzer die webbasierte Verwaltungsoberfläche öffnen und zu Grundeinstellungen > UPnP navigieren, so das Unternehmen. Wenn das Kontrollkästchen Deaktivieren nicht markiert ist, ist UPnP auf dem Gerät aktiviert.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Verteiltes SQL: Hochverfügbarkeit für Unternehmen

Verteiltes SQL ist die erste Wahl, wenn Unternehmen hochverfügbare, elastische und leicht skalierbare Datenbanken mit…

6 Minuten ago

Allianz für weiteres Wachstum: TIMETOACT GROUP erwirbt Transformationsexperten PKS

Führender Anbieter von IT-Dienstleistungen für Mittelständler, Konzerne und öffentliche Einrichtungen im DACH-Raum erwirbt Software-Transformationsexperten.

3 Stunden ago

CrowdStrike: Verbreitung von Linux-Malware nimmt zu

Das Plus liegt im Vergleich zu 2020 bei rund 35 Prozent. Am häufigsten kommen die…

19 Stunden ago

Auch moderne Smartphones von Sicherheitslücken in 2G-Netzwerken betroffen

Google bietet nun in Android 12 grundsätzlich die Option, 2G-Netze nicht zu nutzen. Die EFF…

20 Stunden ago

Microsoft: Gegen Ukraine eingesetzte Malware ist keine Ransomware

Sie ersetzt den Master Boot Record durch eine Lösegeldforderung. Die Malware besitzt jedoch keine Funktion,…

2 Tagen ago

ASM hilft Risiken priorisieren

Die Marktforscher von Forrester erklären das Thema Attack Surface Management (ASM) zum neuen Trend aus.…

2 Tagen ago