Cisco ha identificado múltiples vulnerabilidades críticas en sus routers Small Business, incluyendo las series RV042, RV016, RV320 y RV325. Estas vulnerabilidades permiten a atacantes remotos, tanto autenticados como no autenticados, comprometer la integridad, confidencialidad y disponibilidad de los dispositivos. Las explotaciones podrían resultar en la obtención de privilegios de superusuario, ejecución de comandos arbitrarios y acceso a datos sensibles. La falta de parches adecuados para algunas de estas vulnerabilidades aumenta significativamente el riesgo para las empresas que utilizan estos dispositivos. Se recomienda actualizar los routers afectados con el firmware más reciente y evaluar la arquitectura de red para mitigar los riesgos asociados.
Recursos afectados
- Cisco RV016 Multi-WAN VPN Router
- Cisco RV042 Dual WAN VPN Router
- Cisco RV042G Dual Gigabit WAN VPN Router
- Cisco RV082 Dual WAN VPN Router
- Cisco RV320 Dual Gigabit WAN VPN Router
- Cisco RV325 Dual Gigabit WAN VPN Router
Análisis técnico
- CVE-2023-20025: Una vulnerabilidad en la interfaz de administración basada en web de los routers Cisco Small Business serie RV042 podría permitir que un atacante remoto no autenticado omita la autenticación en el dispositivo afectado. Esta vulnerabilidad se debe a una validación incorrecta de la entrada del usuario de los paquetes HTTP entrantes. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes manipuladas a la interfaz de administración basada en web. Un exploit exitoso podría permitir al atacante obtener privilegios de superusuario en el dispositivo afectado.
- CWE-20
- CVSS: 9.0
- Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
- Explotación: Detectada
- CVE-2023-20026: Una vulnerabilidad en la interfaz de administración basada en web de los routers Cisco Small Business serie RV042 podría permitir que un atacante remoto autenticado inyecte comandos arbitrarios en un dispositivo afectado. Esta vulnerabilidad se debe a una validación incorrecta de los campos de entrada del usuario dentro de los paquetes HTTP entrantes. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud manipulada a la interfaz de administración basada en web. Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios en un dispositivo afectado con privilegios de nivel superusuario. Para aprovechar esta vulnerabilidad, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado.
- CWE-20
- CVSS: 6.5
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
- Explotación: Detectada
- CVE-2023-20118: Una vulnerabilidad en la interfaz de gestión basada en web de los routers Cisco Small Business RV016, RV042, RV042G, RV082, RV320 y RV325 podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios en un dispositivo afectado. Esta vulnerabilidad se debe a una validación incorrecta de la entrada del usuario dentro de los paquetes HTTP entrantes. Un atacante podría explotar esta vulnerabilidad enviando una solicitud HTTP manipulada a la interfaz de gestión basada en web. Un exploit exitoso podría permitir al atacante obtener privilegios de nivel root y acceder a datos no autorizados. Para explotar esta vulnerabilidad, un atacante necesitaría tener credenciales administrativas válidas en el dispositivo afectado. Cisco no ha publicado ni publicará actualizaciones de software que aborden esta vulnerabilidad.
- CWE-20
- CVSS: 6.5
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
- Explotación: Detectada
Mitigación / Solución
Cisco recomienda deshabilitar la administración remota y bloquear el acceso a los puertos 443 y 60443 en los enrutadores RV016, RV042, RV042G, RV082, RV320 y RV325 para mitigar las vulnerabilidades mencionadas. No se esperan actualizaciones de software para solucionar estas vulnerabilidades, y los productos han entrado en el proceso de fin de vida. Se aconseja a los clientes considerar la migración a dispositivos más nuevos que ofrezcan características de seguridad adecuadas.
Referencias adicionales