Cisco advirtió hoy a los clientes sobre una vulnerabilidad crítica de omisión de autenticación con un código de explotación público que afecta a múltiples enrutadores VPN al final de su vida útil (EoL).

La falla de seguridad (CVE-2023-20025) fue encontrada en la interfaz de administración basada en web de los enrutadores Cisco Small Business RV016, RV042, RV042G y RV082 por Hou Liuyang de Qihoo 360 Netlab.

Es causado por una validación incorrecta de la entrada del usuario dentro de los paquetes HTTP entrantes. Los atacantes no autenticados pueden explotarlo de forma remota enviando una solicitud HTTP especialmente diseñada a la interfaz de administración basada en la web de los enrutadores vulnerables para evitar la autenticación.

La explotación exitosa les permite obtener acceso de root. Al encadenarlo con otra vulnerabilidad rastreada como CVE-2023-2002, pueden ejecutar comandos arbitrarios en el sistema operativo subyacente.

A pesar de calificarlo como un error de gravedad crítica y decir que su equipo de respuesta a incidentes de seguridad del producto (PSIRT) está al tanto del código de explotación de prueba de concepto disponible en la naturaleza, Cisco señaló que “no ha lanzado y no lanzará actualizaciones de software que abordar esta vulnerabilidad”.

Afortunadamente, Cisco PSIRT no ha encontrado evidencia que sugiera que se está abusando de la vulnerabilidad en los ataques.

Deshabilitar la interfaz de administración para bloquear ataques

Si bien los enrutadores VPN RV016 y RV082 WAN estuvieron a la venta por última vez en enero y mayo de 2016, el último día en que los enrutadores VPN RV042 y RV042G estuvieron disponibles para pedidos fue el 30 de enero de 2020 y seguirán bajo soporte hasta el 31 de enero de 2025.

Si bien no existen soluciones alternativas para abordar esta vulnerabilidad, los administradores pueden deshabilitar la interfaz de administración basada en web de los enrutadores vulnerables y bloquear el acceso a los puertos 443 y 60443 para frustrar los intentos de explotación.

Para hacerlo, debe iniciar sesión en la interfaz de administración basada en web de cada dispositivo, ir a Firewall > General y desmarcar la casilla de verificación Administración remota.

En el aviso de seguridad publicado hoy, Cisco también brinda pasos detallados para bloquear el acceso a los puertos 443 y 60443.

Los enrutadores afectados seguirán siendo accesibles y se podrán configurar a través de la interfaz LAN después de implementar la mitigación anterior.

En septiembre, la compañía dijo que no solucionaría una falla crítica de omisión de autenticación que afectaba a los enrutadores EoL RV110W, RV130, RV130W y RV215W, alentándolos a migrar a los enrutadores RV132W, RV160 o RV160W bajo soporte.

En junio, Cisco nuevamente aconsejó a los propietarios que cambiaran a modelos de enrutador más nuevos después de revelar una vulnerabilidad crítica de ejecución remota de código (RCE) (CVE-2022-20825) que también se dejó sin parchear.

Fuente: bleepingcomputer.com