Cisco advirtió sobre dos vulnerabilidades de seguridad que afectan los enrutadores RV016, RV042, RV042G y RV082 para pequeñas empresas al final de su vida útil (EoL) que dijo que no se repararán, incluso cuando reconoció la disponibilidad pública de la prueba de concepto (PoC). ) explotar.
Los problemas tienen sus raíces en la interfaz de administración basada en la web del enrutador, lo que permite que un adversario remoto eluda la autenticación o ejecute comandos maliciosos en el sistema operativo subyacente.
El más grave de los dos es CVE-2023-20025 (puntuación CVSS: 9,0), que es el resultado de una validación incorrecta de la entrada del usuario en los paquetes HTTP entrantes.
Un actor de amenazas podría explotarlo de forma remota enviando una solicitud HTTP especialmente diseñada a la interfaz de administración basada en la web de los enrutadores vulnerables para evitar la autenticación y obtener permisos elevados.
La falta de una validación adecuada también es la razón detrás de la segunda falla rastreada como CVE-2023-20026 (puntaje CVSS: 6.5), que permite que un atacante con credenciales de administrador válidas obtenga privilegios de nivel raíz y acceda a datos no autorizados.
«Cisco no ha lanzado y no lanzará actualizaciones de software para abordar las vulnerabilidades», dijo la compañía. «Los enrutadores RV016, RV042, RV042G y RV082 de Cisco Small Business han entrado en el proceso de fin de vida útil».
Como soluciones alternativas, se recomienda a los administradores que deshabiliten la administración remota y bloqueen el acceso a los puertos 443 y 60443. Dicho esto, Cisco advierte a los usuarios que «determinan la aplicabilidad y la eficacia [de la mitigación] en su propio entorno y bajo sus propias condiciones de uso».
A Hou Liuyang de Qihoo 360 Netlab se le atribuye el descubrimiento y la notificación de las fallas a Cisco.
El mayor de equipos de red señaló además que, si bien conoce el código PoC en la naturaleza, dijo que no ha observado ningún uso malicioso de las vulnerabilidades en ataques del mundo real.
Fuente y redacción: thehackernews.com