A Cisco corrigiu falhas graves de segurança de pré-autenticação que afetam vários roteadores VPN para pequenas empresas e permitem que atacantes remotos acionem uma condição de negação de serviço ou executem comandos e códigos arbitrários em dispositivos vulneráveis.
As duas falhas de segurança rastreadas como CVE-2021-1609 e CVE-2021-1602 foram encontradas nas interfaces de gerenciamento baseadas na web e existem devido a solicitações HTTP validadas incorretamente e validação de entrada de usuário insuficiente, respectivamente.
A primeira (CVE-2021-1609) afeta os roteadores RV340, RV340W, RV345 e RV345P Dual WAN Gigabit VPN, enquanto a segunda (CVE-2021-1602) afeta os roteadores VPN RV160, RV160W, RV260, RV260P e RV260W. As falhas podem ser exploradas remotamente sem exigir autenticação como parte de ataques de baixa complexidade que não requerem interação do usuário. Os invasores podem explorar as vulnerabilidades enviando solicitações HTTP criadas com códigos maliciosos para as interfaces de gerenciamento baseadas na Web dos roteadores afetados.
Gerenciamento remoto desativado em todos os roteadores afetados
Felizmente, como a empresa explica, o recurso de gerenciamento remoto é desabilitado por padrão em todos os modelos de roteadores VPN afetados. “A interface de gerenciamento baseada na web para esses dispositivos está disponível por meio de conexões LAN locais por padrão e não pode ser desabilitada lá”, diz a Cisco. “A interface também pode ser disponibilizada por meio da interface WAN, habilitando o recurso de gerenciamento remoto. Por padrão, o recurso de gerenciamento remoto está desabilitado nos dispositivos afetados.”
A Cisco lançou atualizações de software para lidar com essas falhas graves de segurança nos roteadores VPN e diz que não há soluções alternativas disponíveis para remover os vetores de ataque. Para baixar o firmware corrigido do Cisco Software Center, você deve clicar em Browse All em Cisco.com e navegar para Downloads Home> Roteadores> Small Business Routers> Small Business RV Series Routers.
Embora a Cisco diga que sua “Equipe de resposta a incidentes de segurança do produto (PSIRT) não está ciente de nenhum anúncio público ou uso malicioso” das duas falhas de segurança, vulnerabilidades semelhantes de roteador foram visadas no passado por invasores em liberdade, aponta o Bleeping Computer.
Em agosto de 2020, a Cisco alertou sobre bugs de dia zero explorados ativamente em roteadores IOS XR de nível de operadora com roteamento multicast habilitado. A empresa corrigiu o dia zero no final de setembro de 2020, um mês após o aviso inicial, lembra o Bleeping Computer, que também lembra que, em outubro de 2020, a Cisco alertou novamente sobre ataques que visam ativamente uma vulnerabilidade separada de alta gravidade impactando o IOS XR Network OS implantado nos mesmos modelos de roteador.
