1. Avisos de seguridad
  2. Cisco emite advertencia para vulnerabilidades en los enrutadores comerciales EoL
Fecha de publicación: Mar, 24/01/2023 - 16:27

Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

Identificada como CVE-2023-20025 (puntaje CVSS de 9.0), es una vulnerabilidad que afecta la interfaz de administración basada en web de los enrutadores y podría explotarse para eludir la autenticación.

El problema existe porque la entrada del usuario dentro de los paquetes HTTP entrantes no se valida correctamente, lo que permite que un atacante envíe solicitudes HTTP manipuladas al enrutador, para eludir la autenticación y obtener acceso raíz al sistema operativo.

CVE-2023-20026 (puntaje CVSS de 6.5), la vulnerabilidad se debe a una validación incorrecta de la entrada del usuario dentro de los paquetes HTTP entrantes y podría explotarse enviando una solicitud HTTP manipulada a la interfaz de administración basada en la web. Esta vulnerabilidad podría permitir que un atacante remoto autenticado ejecute comandos arbitrarios, obtener privilegios de administrador y acceder a datos confidenciales. 

Recursos afectados

Los enrutadores afectados con ambas vulnerabilidades son:

  • Enrutadores VPN de WAN múltiple RV016
  • Enrutadores VPN de doble WAN RV042
  • Enrutadores VPN WAN Gigabit dobles RV042G
  • Enrutadores VPN de doble WAN RV082

Solución

Desafortunadamente, no existen soluciones alternativas conocidas para abordar completamente estas vulnerabilidades. Sin embargo, los administradores pueden reducir el riesgo de explotación al deshabilitar la administración remota y bloquear el acceso  a los puertos 443 y 60443. A pesar de esto, los enrutadores pueden mantenerse dentro de la red de área local.

Deshabilitar la administración remota
Para deshabilitar la administración remota, haga lo siguiente:

  1. Inicie sesión en la interfaz de administración basada en web para el dispositivo.
  2. Elija Firewall > General .
  3. Desactive la casilla de verificación Gestión remota (Remote Management).

Bloquear el acceso a los puertos 443 y 60443
Primero, agregue un nuevo servicio a las reglas de acceso del dispositivo para el puerto 60443. No es necesario crear un servicio para el puerto 443 porque está predefinido en la lista de servicios.

  1. Inicie sesión en la interfaz de administración basada en web para el dispositivo.
  2. Elija Firewall > Reglas de acceso.
  3. Haga clic en Gestión de servicios.
  4. En el campo Nombre del servicio, ingrese TCP-60443 .
  5. En la lista desplegable Protocolo, elija TCP .
  6. En ambos campos Port Range , ingrese 60443 .
  7. Haga clic en Agregar a la lista.
  8. Haga clic en Aceptar.

A continuación, cree reglas de acceso para bloquear los puertos 443 y 60443. Para crear una regla de acceso para bloquear el puerto 443, haga lo siguiente:

  1. Inicie sesión en la interfaz de administración basada en web para el dispositivo.
  2. Elija Firewall > Reglas de acceso (Access Rules).
  3. Haga clic en Agregar (Add).
  4. En la lista desplegable Acción, elija Denegar (Deny).
  5. En la lista desplegable Servicio, elija HTTPS (TCP 443-443) .
  6. En la lista desplegable Registro, elija Los paquetes de registro coinciden con esta regla .
  7. En la lista desplegable Interfaz de origen, elija la opción que coincida con la conexión WAN del dispositivo.
  8. En la lista desplegable IP de origen, elija Cualquiera.
  9. En la lista desplegable IP de destino, elija Single .
  10. En ambos campos de IP de destino, ingrese la dirección IP de WAN.
  11. Haga clic en Guardar.

Para crear una regla de acceso para bloquear el puerto 60443, repita los pasos anteriores, pero para el Paso 5, elija HTTPS (TCP 60443-60443) de la lista desplegable Servicio .

Recomendaciones

CISCO no ha lanzado y no lanzará actualizaciones para solucionar ambas vulnerabilidades debido a que:

  • RV082 y RV016 ya están “desactualizados”
  • RV042 y RV042G dejarán de ser compatibles en enero de 2025, pero dejaron de recibir versiones de mantenimiento o correcciones de errores en enero de 2021
  • RV 160 y RV260 (y RV345P, RV340W, RV260W, RV260P y RV160W) dejarán de ser compatibles en septiembre de 2026 y recibieron los últimos parches de software en septiembre de 2022.

Las mitigaciones alternativas deben probarse antes de implementarse y soló implementarse hasta que el equipo pueda reemplazase con las alternativas compatibles.

Referencias

Escalada de privilegios de la interfaz de administración basada en la web de enrutadores CISCO