CVE-2023-20025 & CVE-2023-20026
Torre del Mar 12 de enero de 2023
Múltiples vulnerabilidades en la interfaz de administración basada en la web de los enrutadores Cisco Small Business RV016, RV042, RV042G y RV082 podrían permitir que un atacante remoto omita la autenticación o ejecute comandos arbitrarios en el sistema operativo subyacente de un dispositivo afectado.
CVE-2023-20025
Una vulnerabilidad fue encontrada en
Cisco Small Business RV016, Small Business RV042, Small Business RV042G y Small Business RV082 clasificada como crítica (versión desconocida). Afectado es un procesamiento desconocido del componente Interfaz de administración basada en web. La manipulación con una entrada desconocida conduce a una vulnerabilidad de autenticación incorrecta.
CWE está clasificando el problema como CWE-287. Cuando un actor afirma tener una identidad dada, el software no prueba o prueba insuficientemente que la afirmación es correcta. Esto tendrá un impacto en la confidencialidad, la integridad y la disponibilidad.
La vulnerabilidad fue publicada el 2023-01-11 con identificación
cisco-sa-sbr042-multi-vuln-ej76Pke5 (no está definido). El aviso se comparte para su descarga en:
sec.cloudapps.cisco.com
Los administradores pueden deshabilitar la interfaz de administración basada en web de los enrutadores vulnerables y bloquear el acceso a los puertos 443 y 60443 para frustrar los intentos de explotación.
Para hacerlo, debe iniciar sesión en la interfaz de administración basada en web de cada dispositivo, ir a
Firewall > General y desmarcar la casilla de verificación Administración remota.
En el aviso de seguridad publicado hoy, Cisco también brinda pasos detallados para bloquear el acceso a los puertos 443 y 60443.
Los enrutadores afectados seguirán siendo accesibles y se podrán configurar a través de la interfaz LAN después de implementar la mitigación anterior.
En septiembre, la compañía dijo que no solucionaría una falla crítica de omisión de autenticación que afectaba a los enrutadores RV110W, RV130, RV130W y RV215W EoL, alentándolos a migrar a los enrutadores RV132W, RV160 o RV160W bajo soporte.
Esta vulnerabilidad se comercializa como
CVE-2023-20025 desde el 27/10/2022. No hay detalles técnicos ni un exploit disponible públicamente.
CVE-2023-20026
La segunda vulnerabilidad,
CVE-2023-20026, también se deriva de la validación incorrecta de la entrada del usuario dentro de los paquetes HTTP entrantes. Al igual que la primera vulnerabilidad, un atacante podría explotar la vulnerabilidad enviando una solicitud HTTP manipulada a la interfaz de administración basada en web. Usando el exploit, un atacante podría obtener privilegios de nivel raíz y acceder a datos no autorizados.
Se observa que para explotar la segunda vulnerabilidad, un atacante necesitaría tener credenciales administrativas válidas en el dispositivo afectado.
No hay actualizaciones de software ni soluciones alternativas
para abordar las vulnerabilidades. Aún así, los administradores pueden mitigar las vulnerabilidades al deshabilitar la administración remota y bloquear el acceso a los puertos 443 y 60443. Los enrutadores seguirán siendo accesibles a través de la interfaz LAN después de que se haya implementado la mitigación.
En particular, Cisco dijo que no lanzaría actualizaciones de software para abordar las vulnerabilidades ya que los enrutadores han entrado en el proceso de fin de vida útil.
Fuente
Notificación de vulnerabilidad en Cisco IOS, IOS XE y IOS XR CVE-2018-0167 CVE-2018-0175
