CISCOnube
Cisco
advirtió a los clientes sobre una vulnerabilidad crítica de omisión de
autenticación con un código de explotación público que afecta a múltiples
enrutadores VPN al final de su vida útil (EoL).
La falla de
seguridad (CVE-2023-20025) fue encontrada en la interfaz de administración
basada en web de los enrutadores Cisco Small Business RV016, RV042, RV042G y RV082
por Hou Liuyang de Qihoo 360 Netlab.
Es causado
por una validación incorrecta de la entrada del usuario dentro de los paquetes
HTTP entrantes. Los atacantes no autenticados pueden explotarlo de forma remota
enviando una solicitud HTTP especialmente diseñada a la interfaz de
administración basada en la web de los enrutadores vulnerables para evitar la
autenticación.
La
explotación exitosa les permite obtener acceso de root. Al encadenarlo con otra
vulnerabilidad rastreada como CVE-2023-2002 (también revelada hoy por Cisco),
pueden ejecutar comandos arbitrarios en el sistema operativo subyacente.
A pesar de
calificarlo como un error de gravedad crítica y decir que su equipo de
respuesta a incidentes de seguridad del producto (PSIRT) está al tanto del
código de explotación de prueba de concepto disponible en la naturaleza, Cisco
señaló que “no ha lanzado y no lanzará actualizaciones de sóftwer que
aborden esta vulnerabilidad”. Afortunadamente,
Cisco PSIRT no ha encontrado evidencia que sugiera que se está abusando de la
vulnerabilidad en los ataques.
Si bien los
enrutadores VPN RV016 y RV082 WAN estuvieron a la venta por última vez en enero
y mayo de 2016, el último día en que los enrutadores VPN RV042 y RV042G
estuvieron disponibles para pedidos fue el 30 de enero de 2020 y seguirán bajo
soporte hasta el 31 de enero de 2025.
Si bien no
existen soluciones alternativas para abordar esta vulnerabilidad, los
administradores pueden deshabilitar la interfaz de administración basada en web
de los enrutadores vulnerables y bloquear el acceso a los puertos 443 y 60443
para frustrar los intentos de explotación.
Para
hacerlo, debe iniciar sesión en la interfaz de administración basada en web de
cada dispositivo, ir a Firewall > General y desmarcar la casilla de
verificación Administración remota.
En el aviso
de seguridad publicado hoy, Cisco también brinda pasos detallados para bloquear
el acceso a los puertos 443 y 60443. Los
enrutadores afectados seguirán siendo accesibles y se podrán configurar a
través de la interfaz LAN después de implementar la mitigación anterior.
