Вместо исправления проблем в коде, Cisco просто внесла изменения в настройки HTTP-сервера nginx, блокирующие обращения при помощи cURL.
Выпущенное в январе обновление прошивки для маршрутизаторов Cisco моделей RV320/RV325, которое, по идее, должно было устранить уязвимости CVE-2019-1652 и CVE-2019-1653, оказалось неэффективным. Вместо того, чтобы исправить проблемы в коде web-интерфейса, компания просто внесла изменения в настройки HTTP-сервера nginx, блокирующие обращения при помощи утилиты cURL, используемой в PoC-кодах, опубликованных ИБ-экспертами для демонстрации эксплуатации уязвимостей. В результате, устройства по-прежнему остаются под угрозой даже после установки обновления.
Напомним, CVE-2019-1652 и CVE-2019-1653 позволяют неавторизованному атакующему удаленно выполнить команды для администрирования и получить доступ к настройкам устройства. Проблемы были выявлены специалистами компании RedTeam Pentesting, они же и обратили внимание на неполноценность выпущенного Cisco патча.
По словам исследователей, злоумышленники продолжают активно сканировать Сеть на предмет уязвимых маршрутизаторов. И даже если их владельцы установили патч, для эксплуатации уязвимостей злоумышленникам потребуется всего лишь применить сканеры и эксплоиты, не использующие cURL.
В настоящее время инженеры Cisco работают над исправлением проблемы. Сроки выпуска патча не сообщаются.
Кроме прочего, компания выпустила 23 обновления безопасности, устраняющих уязвимости в ряде продуктов, в основном в ОС IOS XE.
cURL — кроссплатформенная служебная программа командной строки, позволяющая взаимодействовать с множеством различных серверов по множеству различных протоколов с синтаксисом URL.
Одно найти легче, чем другое. Спойлер: это не темная материя