CISCO INFORMA SOBRE ROUTERS EXPUESTOS A ATAQUES

12/01/2023

BOLETÍN NRO 2023-029

Recientemente Cisco ha advertido a sus clientes de una vulnerabilidad crítica de elusión de autenticación con código de explotación que afecta a varios routers VPN donde algunos de ellos no recibirán parches de seguridad por parte de la compañía.

Servicios Afectados

• Cisco RV016 Multi-WAN VPN Router todas las versiones

• Cisco RV042 Dual WAN VPN Router todas las versiones

• Cisco RV042G Dual Gigabit WAN VPN Router todas las versiones

• Cisco RV082 Dual WAN VPN Router todas las versiones

• RV110W Wireless-N VPN Firewall todas las versiones

• Cisco Small Business RV130 Series VPN Routers todas las versiones

• RV130W Wireless-N Multifunction VPN Router todas las versiones

• RV215W Wireless-N VPN Router todas las versiones

Detalles Tecnicos

CVE: CVE-2023-20025,CVE-2023-2002,CVE-2022-20825                                    Severidad:   CRÍTICA

El fallo de seguridad CVE-2023-20025 ha sido detectado en la interfaz de gestión basada en web de los routers Cisco Small Business RV016, RV042, RV042G y RV082.

La causa es una validación incorrecta de la entrada del usuario en los paquetes HTTP entrantes. Los atacantes no autenticados pueden explotarlo remotamente enviando una petición HTTP especialmente diseñada a la interfaz de gestión basada en web de los routers vulnerables para saltarse la autenticación.

Una explotación exitosa les permite obtener acceso root. Al encadenarla con otra vulnerabilidad rastreada como CVE-2023-2002, pueden ejecutar comandos arbitrarios en el sistema operativo subyacente.

A pesar de calificarlo como un fallo de seguridad crítico, Cisco señaló que no ha publicado ni publicará actualizaciones de software que aborden esta vulnerabilidad. Además, Cisco no tiene registros que sugieran que se esté abusando de esta vulnerabilidad en ataques.

Mientras que los routers VPN WAN RV016 y RV082 junto con los routers VPN RV042 y RV042G seguirán bajo soporte hasta el 31 de enero de 2025. Aunque no existen soluciones para solucionar esta vulnerabilidad, los administradores pueden desactivar la interfaz de gestión basada en web de los routers vulnerables y bloquear el acceso a los puertos 443 y 60443 para frustrar los intentos de explotación.

Para ello, hay que acceder a la interfaz de gestión basada en web de cada dispositivo, ir a Firewall > General y desmarcar la casilla de verificación de Remote Management. Los routers afectados seguirán siendo accesibles y podrán configurarse a través de la interfaz LAN tras aplicar las medidas de mitigación mencionadas.  

Finalmente, la compañía dijo que no solucionaría un fallo crítico de desvío de autenticación que afectaba a los routers EoL RV110W, RV130, RV130W y RV215W, indicando que deberían migrar a los routers RV132W, RV160 o RV160W bajo soporte.

En junio, Cisco volvió a aconsejar a los propietarios que cambiaran a modelos de routers más recientes tras revelar una vulnerabilidad de ejecución remota de código CVE-2022-20825 que también quedó sin actualizaciones de seguridad.

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

** Al aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Cisco warns of auth bypass bug with public exploit in EoL routers
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​