Cisco Talos раскрыла подробности уязвимостей в промышленных маршрутизаторах MC Technologies и инструменте GoCast BGP, которые остаются неисправленными спустя 8 месяцев после раскрытия информации. Исследователи опубликовали рекомендации по уязвимостям в прошлом месяце, а недавно выкатили финальные сообщения с указанием о отсутствии исправлений после ответственного раскрытия поставщикам еще в марте 2024 года. В случае с MC Technologies речь идет про четыре уязвимости высокой степени серьезности, которые могут привести к внедрению произвольных команд в промышленный маршрутизатор MC LR. MC Technologies - немецкая компания, которая поставляет решения для IoT и Industry 4.0, включая промышленные и 5G-маршрутизаторы, сотовые модемы, терминалы данных, антенны, беспроводные модули, аксессуары для интеллектуальных счетчиков и датчики. В частности, ресерчеры обнаружили, что маршрутизатор MC LR с веб-интерфейсом версии 2.10.5 подвержен четырем уязвимостям внедрения команд ОС. Специально созданный HTTP-запрос может привести к выполнению произвольной команды. Злоумышленник может создать аутентифицированный HTTP-запрос, чтобы активировать эти уязвимости. В GoCast, инструменте с открытым исходным кодом, разработанном для объявлений маршрутов BGP контроллера с хоста, Talos обнаружила три критических уязвимости внедрения команд ОС.  Злоумышленник может реализовать неаутентифицированный HTTP-запрос, которые приведет к выполнению произвольной команды. Компания Talos представила полные технические подробности по каждой из уязвимостей. В свою очередь, разработчики MC Technologies и GoCast сохраняют режим тишины и никак пока не комментируют ситуацию.