Usterka w Cisco VPN 3000 Concentrator może spowodować przeładowanie urządzenia i utratę połączeń, w wyniku wysłania przez napastnika specjalnie spreparowanego pakietu HTTP. Do uszczelnienia tej luki należy zastosować najnowsze uaktualnienie oprogramowania.

Urządzenia Cisco VPN Concentrator są stosowane na zakończeniach połączeń szyfrowanych, przeznaczonych dla zdalnych użytkowników łączących się przez Internet.

Zobacz również:

• Z usługi Google One zniknie funkcja VPN
• Dlaczego warto korzystać z VPN w 2024 roku?

Luka ta jest jeszcze jednym przykładem na potencjalną możliwość wykorzystania HTTP, implementowanego w urządzeniach Cisco, do przeprowadzenia ataku. Protokół HTTP jest używany w interfejsie zarządzania i jest aktywowany domyślnie w urządzeniu.

Producent potwierdził, że usterka dotyczy urządzeń, w których pracują wersje oprogramowania od 4.7.0 do 4.7.2A. Oprogramowanie wcześniejsze niż 4.7 nie jest podatne.

Według informacji producenta, w celu wykorzystania luki do urządzenia musi trafić specjalnie spreparowany pakiet HTTP - urządzenie nie może być unieruchomione przez normalny ruch VPN.

Firma zaleca wyłączenie HTTP w urządzeniu i używanie zamiast niego Secure HTTP (HTTPS). HTTPS musi być włączony przed wyłączeniem HTTP. Użytkownicy mogą także ustawić listę kontrolna dostępu (ACL) na blokowanie zewnętrznego ruchu HTTP, kierowanego do urządzenia, ponieważ dostęp do przeglądarkowego interfejsu urządzenia powinni mieć tylko zaufani użytkownicy wewnętrzni. Według zaleceń firmy jest to najlepsza praktyka dla wszystkich urządzeń z usługami HTTP, także routerów, przełączników i innych.