.
A Cisco “não lançou e não lançará atualizações de software” para corrigir uma falha crítica em quatro roteadores de pequenas empresas, apesar de ter detectado um código de prova de conceito para uma exploração.
O gigante da rede na quarta-feira aconselhado que seus roteadores modelo RV016, RV042, RV042G e RV082 estão sujeitos a CVE-2023-20025 – uma vulnerabilidade de desvio de autenticação de classificação crítica – bem como à vulnerabilidade de execução de comando remoto de gravidade média CVE-2023-20026.
O CVE-2023-20025 pode permitir que um invasor remoto não autenticado ignore a autenticação em um dispositivo afetado, graças à validação inadequada da entrada do usuário nos pacotes HTTP recebidos.
“Um invasor pode explorar essa vulnerabilidade enviando uma solicitação HTTP criada para a interface de gerenciamento baseada na Web. Uma exploração bem-sucedida pode permitir que o invasor ignore a autenticação e obtenha acesso root no sistema operacional subjacente”, afirma o aviso da Cisco.
O CVE-2023-20026 também é um problema de validação de HTTP, mas só pode ser acionado quando os invasores possuem credenciais administrativas válidas para o dispositivo afetado.
A Cisco não atualizará os dispositivos por dois motivos.
Uma delas é que desativar o gerenciamento remoto e bloquear o acesso às portas 443 e 60443 é uma solução alternativa que impede a exploração das falhas.
A outra é que os dispositivos chegaram ao fim de sua vida útil. A Cisco encerrou o suporte para RV082 e RV016 em 2021, e a manutenção de software terminou para RV042 e RV042G no mesmo ano – mas o hardware será suportado até 2025.
Agora, a parte complicada: a Cisco “está ciente de que o código de exploração de prova de conceito está disponível para as vulnerabilidades descritas neste comunicado”, mas “não está ciente de qualquer uso malicioso das vulnerabilidades descritas neste comunicado”.
Mas como os criminosos rotineiramente procuram plataformas fáceis de atacar, certamente não demorará muito para que alguém tente explorar essas vulnerabilidades.
Especialistas em segurança costumam dizer Strong The One que as pequenas empresas não são conhecidas por suas capacidades ou diligência de infosec. Portanto, embora a correção seja relativamente trivial para um usuário técnico, muitos proprietários reais dessas máquinas não terão ideia de como bloquear o acesso às portas 443 e 60443. Isto é, se eles receberem notícias das falhas.
Acrescente o fato de que pequenos roteadores geralmente funcionam por anos a fio sem intervenção, e é quase certo que alguns desses dispositivos estão prontos para ataques – e estarão no futuro próximo. ®
.
