Nivel de peligrosidad: CRÍTICO
La compañía Cisco ha publicado actualizaciones de seguridad que corrige múltiples vulnerabilidades de ejecución remota de código (RCE), omisión de autenticación, credenciales predeterminadas estáticas y escalada de privilegios que afectan a varios de sus productos, incluidos routers y firewalls.
A continuación, se detallan las 5 vulnerabilidades a las que Cisco ha otorgado scores de 9.8 (CVSS), lo que las convierte en críticas:
- CVE-2020-3330: Vulnerabilidad en el servicio Telnet de los routers Cisco Wireless Business RV110W Wireless-N VPN Firewall que podría permitir a un atacante remoto no autenticado tomar el control total del dispositivo con una cuenta con privilegios elevados. La vulnerabilidad existe porque una cuenta del sistema tiene una contraseña predeterminada y estática. Un atacante podría aprovechar esta vulnerabilidad al usar esta cuenta predeterminada para conectarse al sistema afectado.
- CVE-2020-3323: Vulnerabilidad en la interfaz de administración basada en web de los routers RV110W, RV130, RV130W y RV215W de Cisco Small Business que podría permitir a un atacante remoto no autenticado ejecutar código como usuario root en el sistema operativo subyacente del dispositivo afectado. La vulnerabilidad se debe a la validación incorrecta de la entrada proporcionada por el usuario en la interfaz de administración. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTP diseñadas a un dispositivo de destino.
- CVE-2020-3144: Vulnerabilidad en la interfaz de administración basada en la web de los dispositivos Cisco RV110W Wireless-N VPN Firewall, RV130 VPN Router, RV130W Wireless-N Multifunction VPN Router y RV215W Wireless-N VPN Router que podría permitir a un atacante remoto no autenticado evitar la autenticación y ejecutar comandos administrativos en un dispositivo afectado. La vulnerabilidad se debe a una gestión de sesión incorrecta en los dispositivos, lo que podría explotarse mediante el envío de solicitudes HTTP especialmente diseñadas.
- CVE-2020-3331: Vulnerabilidad en la interfaz de administración basada en la web de los dispositivos Cisco RV110W Wireless-N VPN Firewall y Cisco RV215W Wireless-N VPN que podría permitir a un atacante remoto no autenticado ejecutar código como usuario root en un dispositivo afectado. La vulnerabilidad se debe a la validación incorrecta de los datos de entrada proporcionados por el usuario por la interfaz de administración y podría explotarse enviando solicitudes diseñadas a un dispositivo objetivo.
- CVE-2020-3140: Vulnerabilidad en la interfaz de administración web del software Cisco Prime License Manager (PLM) que podría permitir a un atacante remoto no autenticado obtener acceso no autorizado a un dispositivo afectado y obtener privilegios de nivel administrativo en el sistema. El atacante necesita un nombre de usuario válido para aprovechar esta vulnerabilidad. El fallo se debe a una validación insuficiente de la entrada del usuario en la interfaz de administración que podría explotarse enviando una solicitud malintencionada a un sistema afectado.
Por el momento la base de datos del NIST no ha registrado ninguno de estos CVE y no se tiene conocimiento de reportes sobre la posible explotación activa de alguna de estas vulnerabilidades en la red. En su publicación del 15 de julio, Cisco incluye otras vulnerabilidades con criticidades más bajas que pueden ser consultadas mediante el siguiente enlace:
Recursos afectados:
- Cisco Small Business RV110W Wireless-N VPN Firewall firmware, versiones anteriores a la 1.2.2.8.
- Cisco RV215W Wireless-N VPN Router, versiones anteriores a la 1.3.1.7.
- RV110W Wireless-N VPN Firewall.
- RV130 VPN Router.
- RV130W Wireless-N Multifunction VPN Router.
- RV215W Wireless-N VPN Router.
- Cisco PLM Software versiones 10.5(2)SU9 y anteriores.
- Cisco PLM Software versiones 11.5(1)SU6 y anteriores.
Solución a las vulnerabilidades:
Cisco ha lanzado actualizaciones de software que solucionan estas vulnerabilidades. Los clientes con contrato directo con la compañía simplemente deberán esperar a recibirlas de forma automática en función de la licencia de la que dispongan. En el caso de los clientes con productos Cisco adquiridos a través de terceros deberán obtener estas actualizaciones contactando previamente con el TAC de Cisco mediante el siguiente enlace:
https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html
Recomendaciones:
El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
En sus avisos de seguridad, Cisco ha añadido que para estas vulnerabilidades actualmente no existen medidas de mitigación alternativas a las actualizaciones lanzadas.
Referencias:
- Cisco Small Business RV110W Wireless-N VPN Firewall Static Default Credential Vulnerability
- Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Management Interface Remote Command Execution Vulnerability
- Cisco RV110W, RV130, RV130W, and RV215W Routers Authentication Bypass Vulnerability
- Cisco RV110W and RV215W Series Routers Arbitrary Code Execution Vulnerability
- Cisco Prime License Manager Privilege Escalation Vulnerability