ยักษ์ใหญ่ด้านอุปกรณ์เครือข่ายอย่าง Cisco ออกมากล่าวว่า บริษัทไม่มีแผนที่จะแก้ไขช่องโหว่ด้านความปลอดภัยระดับวิกฤติที่กระทบกับเราเตอร์แบบ Small Business ของตัวเอง โดยขอให้ผู้ใช้เปลี่ยนมาใช้อุปกรณ์รุ่นใหม่แทน
บั๊กนี้อยู่ใต้รหัส CVE-2021-1459 มีคะแนนความรุนแรงตามสเกลของ CVSS เกือบเต็ม 9.8 เต็ม 10 มีอยู่ในวีพีเอ็นไฟร์วอลล์รุ่น RV110W และเราเตอร์แบบ Small Business รุ่น RV130, RV130W, และ RV215W ที่เปิดช่องให้ผู้โจมตีจากระยะไกลเข้ามารันโค้ดอันตรายได้โดยไม่ต้องยืนยันตัวตน
ช่องโหว่นี้มาจากการตรวจความถูกต้องของข้อมูลป้อนเข้าผ่านอินเทอร์เฟซหน้าเว็บจัดการอย่างไม่เหมาะสม ทำให้ผู้ไม่หวังดีส่งคำร้องขอ HTTP ที่ออกแบบมาเป็นพิเศษมายังอุปกรณ์ของเหยื่อเพื่อนำไปสู่การรันโค้ดจากระยะไกลต่อไป
ทางนักวิจัยด้านความปลอดภัย Treck Zhou เป็นผู้รายงานช่องโหว่นี้ แต่ทางซิสโก้อ้างว่าไม่พบหลักฐานแน่ชัดที่มีการนำไปใช้โจมตีจริงในวงกว้าง อีกทั้งจะไม่ออกแพ็ตช์หรือบอกวิธีแก้ไขใดๆ โดยย้ำว่าผลิตภัณฑ์ดังกล่าวหมดอายุการซัพพอร์ตหรือ End of Life ไปแล้ว
ที่มา : THN