Агентство по кибербезопасности и защите инфраструктуры США (CISA) дополнило каталог Known Exploited Vulnerabilities (KEV) одной уязвимостью, по которой подтверждено активное использование в атаках. Речь идёт о CVE-2008-4128 - проблеме подделки межсайтовых запросов (CSRF) в компоненте HTTP Administration маршрутизаторов Cisco IOS версии 12.4, в частности модели 871 Integrated Services Router. Уязвимость была опубликована ещё в сентябре 2008 года, однако спустя более 15 лет она продолжает привлекать внимание злоумышленников.
Уязвимость CVE-2008-4128
CVE-2008-4128 относится к классу уязвимостей, связанных с недостаточной проверкой источника запросов. Через манипуляции с определёнными URI на устройстве - /level/15/exec/- и /level/15/exec/-/configure/http - удалённый злоумышленник может выполнить произвольные команды от имени администратора. Технически атака использует механизм CSRF: жертва (например, администратор сети) должна быть авторизована в веб-интерфейсе маршрутизатора в момент, когда её браузер загружает вредоносную страницу, содержащую сконструированные запросы. В результате злоумышленник получает возможность выполнить команды уровня привилегий 15 - максимального в Cisco IOS. Среди потенциальных сценариев эксплуатации - изменение конфигурации устройства, перехват трафика, создание учётной записи с полным доступом, а также дальнейшее продвижение внутри сети.
Хотя Cisco выпустила исправления для данной уязвимости ещё в 2008 году, многие старые маршрутизаторы серии 871 и других моделей под управлением IOS 12.4 остаются в эксплуатации в корпоративных и государственных сетях. Это связано с тем, что оборудование часто не обновляется из-за прекращения поддержки, сложностей с обновлением в изолированных сегментах или отсутствия бюджета на замену. Именно такие устройства становятся лёгкой целью: для эксплуатации CVE-2008-4128 не требуется высокой квалификации, а необходимые инструменты и описания давно опубликованы в открытом доступе.
Решение CISA добавить уязвимость 2008 года в свой каталог KEV не случайно. Агентство основывается на данных мониторинга реальных атак - если проблема фиксируется в перечне, значит, злоумышленники активно используют её в данный момент. Для государственных учреждений США это означает обязательное применение мер по устранению уязвимости в установленный срок (обычно до 21 дня). Однако рекомендации CISA важны и для коммерческих организаций, особенно тех, кто всё ещё использует устаревшее сетевое оборудование.
CVE-2008-4128 - это напоминание о том, что возраст уязвимости не снижает её опасности, пока устройства остаются доступными в сети. CSRF-вектор по-прежнему эффективен для атак на веб-интерфейсы управления, особенно если производитель не предусмотрел токены защиты. Эксплуатация уязвимости не требует сложных подготовительных действий: достаточно заставить администратора перейти по ссылке или просмотреть специально подготовленную страницу во время сеанса работы с маршрутизатором.
С точки зрения инфраструктурных рисков, компрометация маршрутизатора на границе сети может привести к последствиям вплоть до полного контроля над трафиком организации. Злоумышленник, получив доступ к конфигурации, способен перенаправлять данные на свои серверы, внедрять вредоносное ПО в передаваемый трафик, создавать туннели для скрытого доступа во внутренние сегменты. Особенно уязвимы так называемые small office / home office (SOHO) маршрутизаторы, которые часто используются в филиалах и удалённых офисах без достаточного контроля со стороны ИТ-отдела.
Ситуация вокруг CVE-2008-4128 вписывается в более широкую тенденцию: старые уязвимости в сетевом оборудовании продолжают оставаться одной из главных головных болей для специалистов по безопасности. По данным отчётов CISA и других организаций, значительная часть атак на государственные и корпоративные сети эксплуатирует проблемы, опубликованные более 5-10 лет назад. Объяснение простое: исправления выходят, но обновления проводятся не везде, и злоумышленники пользуются этим, собирая целые базы уязвимых устройств через сканирование интернета. В случае с Cisco IOS 12.4 таких устройств, по оценкам аналитиков, всё ещё насчитываются десятки тысяч по всему миру.
Таким образом, решение CISA оперативно включить CVE-2008-4128 в KEV должно послужить сигналом для владельцев устаревшего сетевого оборудования. Игнорирование проблемы грозит компрометацией не только самого маршрутизатора, но и всей инфраструктуры, которая через него завязана.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2008-4128
- https://www.exploit-db.com/exploits/6476
- https://www.cisa.gov/news-events/alerts/2026/07/13/cisa-adds-one-known-exploited-vulnerability-catalog