Cisco предупредила пользователей о критической уязвимости обхода аутентификации с общедоступным кодом эксплойта, затрагивающим несколько VPN-маршрутизаторов с истекшим сроком службы (EoL).

Уязвимость безопасности (CVE-2023-20025) была обнаружена в веб-интерфейсе управления маршрутизаторами Cisco Small Business моделей RV016, RV042, RV042G и RV082. Успешная эксплуатация позволяет получить root-доступ. Cisco также предупредила о серьезной ошибке (CVE-2023-20026) в веб-интерфейсе управления тех же маршрутизаторов, использование которой может позволить удаленному аутентифицированному злоумышленнику выполнять произвольные команды на уязвимом устройстве.

Cisco отметила, что «не выпускала и не будет выпускать обновления программного обеспечения, устраняющие эти уязвимости», и заявила, что «нет временных решений, устраняющих эти уязвимости», а также о том, что пользователи могут смягчить уязвимости, отключив удаленное управление и заблокировав доступ к портам 443 и 60443.

Дополнительные сведения об уязвимостях доступны в рекомендации по безопасности Cisco - cisco.com