Uma vulnerabilidade crítica nos roteadores Cisco Small Business não será corrigida pela gigante dos equipamentos de rede, já que os dispositivos chegaram ao fim da vida útil em 2019.
Rastreado como CVE-2021-34730 (pontuação CVSS: 9,8), o problema reside no serviço Universal Plug-and-Play (UPnP) dos roteadores, permitindo que um invasor remoto não autenticado execute código arbitrário ou faça com que um dispositivo afetado reinicie inesperadamente , resultando em uma condição de negação de serviço (DoS).
A vulnerabilidade, que a empresa disse ser devido à validação inadequada do tráfego UPnP de entrada, pode ser usada para enviar uma solicitação UPnP especialmente criada para um dispositivo afetado, resultando na execução remota de código como usuário raiz no sistema operacional subjacente.
"A Cisco não lançou e não lançará atualizações de software para lidar com a vulnerabilidade", observou a empresa em um comunicado publicado na quarta-feira. "Os roteadores Cisco Small Business RV110W, RV130, RV130W e RV215W entraram no processo de fim de vida . Os clientes são incentivados a migrar para os roteadores Cisco Small Business RV132W, RV160 ou RV160W."
O problema afeta os seguintes produtos -
- Firewalls VPN Wireless-N RV110W
- Roteadores VPN RV130
- Roteadores VPN Multifuncionais RV130W Wireless-N
- Roteadores VPN Wireless-N RV215W
Na ausência de um patch, a Cisco recomenda que os clientes desabilitem o UPnP na interface LAN. Quentin Kaiser, do IoT Inspector Research Lab, recebeu o crédito por relatar a vulnerabilidade.
“Com muita freqüência, depois que um sistema ou serviço é substituído, o sistema ou serviço legado é deixado em execução 'apenas no caso' de ser necessário novamente. O problema está no fato de que - como no caso desta vulnerabilidade no plugue universal -and-play service - o sistema ou serviço legado geralmente não é atualizado com atualizações ou configurações de segurança ", disse Dean Ferrando, gerente de engenharia de sistemas (EMEA) da Tripwire.
"Isso o torna um excelente alvo para malfeitores, e é por isso que as organizações que ainda usam esses roteadores VPN antigos devem tomar medidas imediatamente para atualizar seus dispositivos. Isso deve ser parte de um esforço geral para proteger os sistemas em toda a superfície de ataque, o que ajuda a salvaguardar a integridade dos ativos digitais e proteger contra vulnerabilidades e ameaças de segurança comuns que podem ser aproveitadas como pontos de entrada ", acrescentou Ferrando.
CVE-2021-34730 marca a segunda vez que a empresa segue a abordagem de não lançar correções para roteadores em fim de vida desde o início do ano. No início de abril, a Cisco instou os usuários a atualizar seus roteadores como uma contramedida para resolver um bug de execução remota de código semelhante ( CVE-2021-1459 ) que afetava o firewall VPN RV110W e os roteadores RV130, RV130W e RV215W para pequenas empresas.
Além disso, a Cisco também emitiu um alerta para uma falha crítica BadAlloc que afeta o BlackBerry QNX Real-Time Operating System (RTOS) que veio à tona no início desta semana, afirmando que a empresa está "investigando sua linha de produtos para determinar quais produtos e serviços podem ser afetado por esta vulnerabilidade. "
