19500 ROUTERS DE CISCO VPN EXPUESTOS A CIBERATAQUES

Los investigadores advierten sobre alrededor de 19 500 routers Cisco VPN al final de su vida útil en Internet que están expuestos a la cadena de explotación RCE recientemente revelada.

Cisco advirtió recientemente sobre una vulnerabilidad crítica , rastreada como  CVE-2023-20025  (puntaje CVSS de 9.0), que afecta a los enrutadores RV016, RV042, RV042G y RV082 de las pequeñas empresas. El gigante de TI anunció que estos dispositivos no recibirán actualizaciones de seguridad para solucionar el error porque han llegado al final de su vida útil (EoL).

La falla es un problema de omisión de autenticación que reside en la interfaz de administración basada en web de los enrutadores, un atacante. Un atacante remoto no autenticado puede explotar la falla CVE-2023-20025 para eludir la autenticación en dispositivos vulnerables.

La falla se debe a una validación incorrecta de la entrada del usuario dentro de los paquetes HTTP entrantes. 

Un atacante podría desencadenar la falla al enviar una solicitud HTTP especialmente diseñada a la interfaz de administración basada en la web.

“Una explotación exitosa podría permitir al atacante eludir la autenticación y obtener acceso de root en el sistema operativo subyacente”. lee el  aviso  publicado por la empresa. “Cisco no ha lanzado y no lanzará actualizaciones de software que aborden esta vulnerabilidad. No hay soluciones alternativas que aborden esta vulnerabilidad”.

La firma de tecnología de comunicaciones dijo que no hay soluciones para corregir esta falla, sin embargo, los administradores pueden deshabilitar la administración remota y bloquear el acceso a los puertos 443 y 60443.

Cisco también abordó una vulnerabilidad de ejecución remota de comandos, rastreada como CVE-2023-20026 (puntaje CVSS 6.5), que afecta a los enrutadores Cisco Small Business RV016, RV042, RV042G y RV082.

La empresa PSIRT confirmó la disponibilidad de un código de explotación de prueba de concepto para estas fallas.

Los investigadores de Censys ahora han informado que alrededor de 19.500 dispositivos Cisco al final de su vida útil para individuos y pequeñas empresas están expuestos en Internet, lo que puede estar en riesgo de explotación por las fallas anteriores.

Más de 19 000 enrutadores Cisco VPN al final de su vida útil en Internet están expuestos a ataques dirigidos a una cadena de explotación de ejecución de comandos remotos.

“Al observar solo los servicios HTTP que incluyen los números de modelo en el encabezado de respuesta “WWW-Authenticate” o un servicio HTTPS con una unidad organizativa TLS coincidente,   los resultados de búsqueda de Censys muestran que alrededor de 20 000 hosts  tienen indicadores de que son potencialmente vulnerables a este ataque. .” lee el informe publicado por Censys.

La mayoría de los modelos expuestos a Internet son RV042, con más de 12 000 hosts expuestos a Internet. 

Estados Unidos (4594 hosts) lidera los diez principales países del mundo que ejecutan un dispositivo Cisco vulnerable, seguido de Canadá (1748 hosts) e India (1508 hosts).