Cisco Small Business Router: Sicherheitslücken und eine kaputte Firmware (März 2022)

Sicherheit (Pexels, allgemeine Nutzung)[English]Für Besitzer von Small Business Routern der Firma Cisco kommt es momentan knüppeldicke. In Router-Modellen der Familien RV160, RV260,  RV340 oder RV345 etc. wurden im Februar 2022 gravierende Schwachstellen gefunden, die teilweise mit dem CVE-Wert von 10.0 bewertet sind. Cisco hat zwar Firmware-Updates für Kunden mit entsprechenden Lizenzen bereitgestellt. Die Firmware ist aber so fehlerhaft, dass die Gerät anschließend nicht mehr benutzt werden können.

Schwachstellen in Cisco Small Business Routern

Ich hatte im Blog-Beitrag Cisco-Drama: Kritische Schwachstellen in Small-Business-Routern (Feb. 2022) Anfang Februar 2022 über einen Sicherheitshinweis der Firma Cisco bezüglich seiner Small-Business-Router (SMB) berichtet. In der Firmware der Cisco Small Business Router der RV160-, RV260-, RV340- und RV345-Serie klaffen mehrere Sicherheitslücken, von denen drei CVEs als kritisch mit einem Index 10/10 klassifiziert wurden. Die Details lassen sich im verlinkten Blog-Beitrag nachlesen.

Firmware-Updates sind fehlerhaft

Bereits bei Veröffentlichung meines Blog-Beitrags meldet sich Blog-Leser Klaus und monierte, dass die Sicherheitsupdates der Cisco-Firmware praktisch unbrauchbar sei. Er schrieb:

Schön das es neue Firmware gibt für den RV340 ist dass die 1.0.03.26 damit ist dann die VPN Funktion defekt. Bei der 1.0.03.24 ist VPN kaputt und über den WAN Ports kommt nichts mehr rein.

Wer den Luxus eines funktionierenden Cisco Small Business Router will, muss beim RV340 Router auf der Firmware-Version 1.0.03.22 bleiben. Gleichzeitig hat der Hersteller für viele Modelle das Supportende verkündet, so dass es keine Unterstützung mit Updates der Firmware mehr gibt. Auch Blog-Leser Haber Kurt hat es in einem Kommentar vom 7. März 2022 nochmals aufgegriffen.

Das Cisco Forum ist voll von Meldungen über Bugs in der ..x.24 und ..x.26 Firmware die das Gerät praktisch unbenutzbar machen und trotzdem bietet man dieses weiter an statt die Reißleine zu ziehen.

Zumindest „sicher“ ist man jetzt vor einem Update da Cisco weiter den Rotstift ohne wirkliche Vorwarnung angesetzt hat. Seit 1.3 sind alle Auto-Update Server abgeschaltet worden für die Serie.

Downgrade auf wenigstens die noch lauffähige und dann eben mit Sicherheitslöchern versehenen Version ..x.22 werden auch nicht unterstützt. Man kann dann nur noch über die Backup-Firmware booten falls man diese noch nicht auch aktualisiert hat.

Frage in die Runde: Wie geht ihr als Betroffene mit dieser Fragestellung um?

Dieser Beitrag wurde unter Geräte, Sicherheit, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert