Cisco Small Business RV110W, RV130, RV130W, y los enrutadores RV215W contienen 68 vulnerabilidades. Sin embargo, la empresa no planea arreglarlos. En lugar, “Se recomienda a los clientes que consulten los avisos de final de vida útil de estos productos,”Explicó el asesor.
¿Qué está causando el 68 vulnerabilidades?
Las vulnerabilidades en estos Enrutadores Cisco existen porque la entrada proporcionada por el usuario a la interfaz de gestión basada en web no se valida correctamente. Esto podría permitir a los atacantes enviar solicitudes HTTP creadas y ejecutar código arbitrario con privilegios de root.. Los dispositivos vulnerables también podrían reiniciarse inesperadamente debido al exploit, que conduce a una condición de denegación de servicio.
Sin embargo, los atacantes podrían explotar las fallas solo con credenciales de administrador válidas en su lugar.
El 68 las fallas afectan a los siguientes routers Cisco Small Business:
- Firewall RV110W Wireless-N VPN
- Enrutador VPN RV130
- RV130W Wireless-N Router multifunción VPN
- Router VPN RV215W Wireless-N
“La interfaz de administración basada en web de estos dispositivos está disponible a través de una conexión LAN local, que no se puede desactivar, oa través de la conexión WAN si la función de administración remota está habilitada. Por defecto, la función de administración remota está deshabilitada para estos dispositivos,"Dijo el aviso.
Los administradores deben determinar si la configuración del dispositivo está habilitada. Esto se puede completar abriendo la interfaz de administración basada en web y eligiendo Configuración básica> Administración remota. Tener la casilla Habilitar marcada significa que la administración remota está habilitada.
No hay soluciones alternativas disponibles que aborden estas vulnerabilidades, la empresa agregó.
Cisco no planea parchear el 68 vulnerabilidades
La empresa no ha publicado ninguna actualización para las fallas del enrutador y no planea hacerlo. El motivo de la decisión es que los productos han entrado en el proceso de final de vida.. Los clientes deben consultar los avisos de fin de vida útil de cada enrutador y actualizar a otros productos.
Una lista completa de los defectos está disponible en el asesor oficial.
En noviembre 2020, Cisco informó un problema grave en su software ISO XR. El error CVE-2020-26070 podría permitir no autenticados, piratas informáticos remotos para aprovechar los enrutadores de servicios de agregación de Cisco conocidos como ASR. La falla fue provocada por una asignación inadecuada de recursos que ocurre "cuando un dispositivo afectado procesa el tráfico de red en el modo de conmutación de software".