Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Cisco Small Business RV016, RV042, RV042G и RV082, RV320 и RV325 связана с недостаточной проверкой входных данных при обработке HTTP-пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специально созданного HTTP-запроса
Использование рекомендаций:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sbr042-multi-vuln-ej76Pke5
Компенсирующие меры:
- отключение удаленного управления:
1. Войдити в веб-интерфейс управления устройством;
2. Выберити «Брандмауэр» > «Основные»;
3. Снимите флажок «Удаленное управление».
- блокирование доступа к портам 443 и 60443:
Сначала добавьте новую службу в правила доступа устройства для порта 60443. Службу для порта 443 создавать не нужно, поскольку она предопределена в списке служб. Добавление новой службы для порта 60443:
1. Войдите в веб-интерфейс управления устройством;
2. Выберите «Брандмауэр» > «Правила доступа»;
3. Щелкните «Управление службами»;
4. В поле «Имя службы» введите TCP-60443;
5. В раскрывающемся списке «Протокол» выберите «TCP»;
6. В обоих полях «Port Range» введите 60443;
7. Щелкните «Добавить в список»;
8. Нажмите ОК.
Затем создайте правила доступа для блокировки портов 443 и 60443. Чтобы создать правило доступа для блокировки порта 443, выполните следующие действия:
1. Войдите в веб-интерфейс управления устройством;
2. Выберите «Брандмауэр» > «Правила доступа»;
3. Щелкните «Добавить»;
4. В раскрывающемся списке «Действие» выберите «Запретить»;
5. В раскрывающемся списке «Служба» выберите «HTTPS (TCP 443-443)»;
6. В раскрывающемся списке «Журнал» выберите «Журнал пакетов», соответствующих этому правилу;
7. В раскрывающемся списке «Исходный интерфейс» выберите параметр, соответствующий WAN-подключению на устройстве;
8. В раскрывающемся списке «Исходный IP» выберите «Любой»;
9. В раскрывающемся списке «IP-адресов» назначения выберите «Один»;
10. В оба поля IP-адреса назначения введите IP-адрес WAN;
11. Нажмите «Сохранить».
Чтобы создать правило доступа для блокировки порта 60443, повторите предыдущие шаги, но на шаге 5 выберите «HTTPS (TCP 60443-60443)» из раскрывающегося списка «Служба».
- использование средств межсетевого экранирования уровня веб-приложений.
| Балл | 8.5 — высокая опасность |