19.000 roteadores Cisco expostos

19.000 roteadores Cisco expostos. Cisco adverte sobre bug de desvio de autenticação com exploração pública em roteadores EoL.

Mais de 19.000 roteadores Cisco VPN em fim de vida útil na Internet estão expostos a ataques direcionados a uma cadeia de exploração de execução de comando remoto.

A Cisco em 11 de janeiro os clientes sobre uma vulnerabilidade crítica de desvio de autenticação com código de exploração público que afeta vários roteadores VPN em fim de vida útil (EoL).

A falha de segurança (CVE-2023-20025) foi encontrada na interface de gerenciamento baseada na web dos roteadores Cisco Small Business  RV016 ,  RV042, RV042G e  RV082  por Hou Liuyang da Qihoo 360 Netlab.

É causado pela validação imprópria da entrada do usuário nos pacotes HTTP recebidos. Os invasores não autenticados podem explorá-lo remotamente enviando uma solicitação HTTP especialmente criada para a interface de gerenciamento baseada na Web dos roteadores vulneráveis ​​para ignorar a autenticação.

A exploração bem-sucedida permite que eles obtenham acesso root. Ao encadeá-lo com outra vulnerabilidade rastreada como CVE-2023-2002 (também divulgada hoje pela Cisco), eles podem executar comandos arbitrários no sistema operacional subjacente.

Apesar de classificá-lo como um bug de gravidade crítica e dizer que sua equipe de Resposta a Incidentes de Segurança do Produto (PSIRT) está ciente do código de exploração de prova de conceito disponível em estado selvagem, a Cisco observou que “não lançou e não lançará atualizações de software que lidar com essa vulnerabilidade.”

Felizmente, o Cisco PSIRT não encontrou evidências que sugiram que a vulnerabilidade esteja sendo abusada em ataques.

Desative a interface de gerenciamento para bloquear ataques

Embora não haja soluções alternativas para lidar com essa vulnerabilidade, os administradores podem desabilitar a interface de gerenciamento baseada na Web dos roteadores vulneráveis ​​e bloquear o acesso às portas 443 e 60443 para impedir tentativas de exploração.

Para fazer isso, você deve fazer login na interface de gerenciamento baseada na Web de cada dispositivo, ir para Firewall > Geral e desmarcar a caixa de seleção Gerenciamento remoto.

No comunicado de segurança publicado hoje, a Cisco também fornece etapas detalhadas  para bloquear o acesso às portas 443 e 60443 .

Os roteadores afetados ainda estarão acessíveis e poderão ser configurados por meio da interface LAN após a implementação da mitigação acima.

Em setembro, a empresa disse que  não corrigiria uma falha crítica de desvio de autenticação  que afetava os roteadores RV110W, RV130, RV130W e RV215W EoL, incentivando-os a migrar para os roteadores RV132W, RV160 ou RV160W sob suporte.

Em junho, a Cisco novamente aconselhou os proprietários a mudar para modelos de roteador mais novos depois de divulgar  uma vulnerabilidade crítica de execução remota de código (RCE)  (CVE-2022-20825) que também não foi corrigida.

Milhares de roteadores vulneráveis ​​a ataques

Depois que o BleepingComputer  informou  que esses roteadores ficariam sem um patch e analisando quantos deles podem ser acessados ​​pela Internet, o Censys encontrou quase 20.000 roteadores Cisco RV016, RV042, RV042G e RV082 online.

Ao observar apenas os serviços HTTP que incluem os números de modelo no cabeçalho de resposta ‘WWW-Authenticate’ ou um serviço HTTPS com uma unidade organizacional TLS correspondente, os resultados da pesquisa do Censys mostram que cerca de 20.000 hosts têm indicadores de que são potencialmente vulneráveis ​​a esse ataque.”, disse o Censys  .

Dos quatro modelos vulneráveis, o RV042 domina a paisagem, com mais de 12 mil hosts expostos à Internet.”

O RV082 e o RV042 com 3,5 mil hosts, enquanto o RV016 fica atrás com apenas 784 ativos expostos à Internet.

Vulnerabilidaes não serão corrigidas

A Cisco também disse que  não corrigiria uma falha crítica de desvio de autenticação  que afetava vários roteadores EoL em setembro e aconselhou os usuários a mudar para os roteadores RV132W, RV160 ou RV160W ainda com suporte.

As duas vulnerabilidades que podem atingir o roteador de pequenas empresas não serão corrigidas. Os problemas estão no gerenciamento baseado na web do roteador, ou seja, um hacker pode acessar o aparelho remotamente evitando a autenticação e que ele execute comandos maliciosos no sistema operacional. 

O mais grave das duas falhas é o resultado da validação inadequada da entrada do usuário nos pacotes HTTP recebidos, segundo o The Hackers News. Um agente de ameaça pode explorá-lo remotamente enviando uma solicitação HTTP especialmente criada para a interface de gerenciamento baseada na web de roteadores vulneráveis ​​para ignorar a autenticação e obter permissões elevadas. Ou seja, acessar a rede.

Esta vulnerabilidade causou a outra falha, pois ela permite que o invasor com credenciais de um administrador obtenha privilégios e acesse dados não autorizados. 

A Cisco não lançou e não lançará atualizações de software para lidar com as vulnerabilidades”, disse a empresa. “Roteadores Cisco Small Business RV016, RV042, RV042G e RV082 entraram no processo conhecido como EOL, ou End Of Life, ou seja, de fim de vida”.

Como uma solução alternativa, é recomendado que os administradores desabilitem o gerenciamento remoto e bloqueiem o acesso às portas 443 e 60443. Assim, a Cisco está alertando os usuários para “determinar a aplicabilidade e eficácia [da mitigação] em seu próprio ambiente e sob suas próprias condições de uso”.

Fonet: BleepingComputer & Olhar Digital

Veja também:

Sobre mindsecblog 1947 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!