El proveedor de equipos de red Cisco dijo ayer que no lanzaría actualizaciones de firmware para reparar 74 vulnerabilidades que se habían reportado en su línea de enrutadores RV, que habían alcanzado el final de su vida útil (EOL).

Los dispositivos afectados incluyen los sistemas Cisco Small Business RV110W, RV130, RV130W y RV215W, que se pueden usar como enrutadores, firewalls y VPN.

Los cuatro alcanzaron la EOL en 2017 y 2018 y también han salido recientemente de su última ventana de mantenimiento como parte de los contratos de soporte pagado el 1 de diciembre de 2020.

En tres avisos de seguridad publicados ayer, Cisco dijo que desde diciembre, recibió informes de errores por vulnerabilidades que van desde simples problemas de denegación de servicio que bloquearon dispositivos hasta fallas de seguridad que podrían usarse para obtener acceso a  cuentas raíz  y secuestrar enrutadores.

En total, el fabricante del dispositivo dijo que recibió 74 informes de errores, pero que no lanzaría parches de software, mitigaciones o soluciones, ya que los dispositivos habían alcanzado el EOL años antes.

En cambio, la compañía recomendó que los clientes trasladen sus operaciones a dispositivos más nuevos, como los modelos RV132W, RV160 o RV160W, que brindan las mismas características y que aún reciben soporte activo.

Es posible que a algunos de los clientes de la empresa no les guste la decisión de la empresa, pero la buena noticia es que ninguno de los errores divulgados hoy se puede explotar fácilmente.

Cisco dijo que todas las vulnerabilidades requieren que un atacante tenga credenciales para el dispositivo, lo que reduce el riesgo de que una red sea atacada en las próximas semanas o meses, dando a los administradores la oportunidad de planificar y preparar un plan de migración a equipos más nuevos, o al menos desplegar sus propias contramedidas, de lo contrario.

Los identificadores CVE de los errores que Cisco se negó a parchear en sus enrutadores EOL se enumeran a continuación:

  • CVE-2021-1146
  • CVE-2021-1147
  • CVE-2021-1148
  • CVE-2021-1149
  • CVE-2021-1150
  • CVE-2021-1151
  • CVE-2021-1152
  • CVE-2021-1153
  • CVE-2021-1154
  • CVE-2021-1155
  • CVE-2021-1156
  • CVE-2021-1157
  • CVE-2021-1158
  • CVE-2021-1159
  • CVE-2021-1160
  • CVE-2021-1161
  • CVE-2021-1162
  • CVE-2021-1163
  • CVE-2021-1164
  • CVE-2021-1165
  • CVE-2021-1166
  • CVE-2021-1167
  • CVE-2021-1168
  • CVE-2021-1169
  • CVE-2021-1170
  • CVE-2021-1171
  • CVE-2021-1172
  • CVE-2021-1173
  • CVE-2021-1174
  • CVE-2021-1175
  • CVE-2021-1176
  • CVE-2021-1177
  • CVE-2021-1178
  • CVE-2021-1179
  • CVE-2021-1180
  • CVE-2021-1181
  • CVE-2021-1182
  • CVE-2021-1183
  • CVE-2021-1184
  • CVE-2021-1185
  • CVE-2021-1186
  • CVE-2021-1187
  • CVE-2021-1188
  • CVE-2021-1189
  • CVE-2021-1190
  • CVE-2021-1191
  • CVE-2021-1192
  • CVE-2021-1193
  • CVE-2021-1194
  • CVE-2021-1195
  • CVE-2021-1196
  • CVE-2021-1197
  • CVE-2021-1198
  • CVE-2021-1199
  • CVE-2021-1200
  • CVE-2021-1201
  • CVE-2021-1202
  • CVE-2021-1203
  • CVE-2021-1204
  • CVE-2021-1205
  • CVE-2021-1206
  • CVE-2021-1207
  • CVE-2021-1208
  • CVE-2021-1209
  • CVE-2021-1210
  • CVE-2021-1211
  • CVE-2021-1212
  • CVE-2021-1213
  • CVE-2021-1214
  • CVE-2021-1215
  • CVE-2021-1216
  • CVE-2021-1217
  • CVE-2021-1307
  • CVE-2021-1360

Fuente y redacción: zdnet.com

Compartir