Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Cisco advierte de vulnerabilidades de elusión de autenticación en routers
24 de enero de 2023 - Equipo de RRPP de TuxCare
Un atacante remoto podría explotar múltiples vulnerabilidades en cuatro routers Cisco para pequeñas empresas para saltarse la autenticación o ejecutar comandos arbitrarios en un dispositivo afectado.
Los fallos, que podrían afectar a los routers Cisco Small Business de las series RV160, RV260, RV340 y RV345, podrían permitir a un atacante remoto no autenticado ejecutar código arbitrario o provocar una denegación de servicio (DoS) en un dispositivo afectado, según la compañía.
Según la alerta de Cisco, esta vulnerabilidad está causada por una validación incorrecta de la entrada del usuario en los paquetes HTTP entrantes. Un atacante podría aprovecharse de este fallo enviando una petición HTTP especialmente diseñada a la interfaz de gestión basada en web. Si el exploit tiene éxito, el atacante puede ser capaz de eludir la autenticación y obtener acceso root al sistema operativo subyacente.
El fallo de seguridad, identificado como CVE-2023-20025 (puntuación CVSS de 9,0), afecta a la interfaz de gestión basada en web de los routers y podría aprovecharse para eludir la autenticación. Dado que la entrada del usuario en los paquetes HTTP entrantes no se valida correctamente, un atacante puede enviar peticiones HTTP falsificadas al router, eludiendo la autenticación y obteniendo acceso root al sistema operativo.
Un compromiso exitoso podría, entre otras cosas, permitir a los ciberatacantes espiar o secuestrar VPN y el tráfico de sesión que fluye a través del dispositivo, ganar un punto de apoyo para el movimiento lateral dentro de la red de una empresa, o ejecutar cryptominers, clientes botnet, u otro malware.
El primer fallo es un problema de evasión de autenticación clasificado como crítico (CVE-2023-20025) que existe en la interfaz de gestión web de los dispositivos y tiene una clasificación de gravedad CVSS de 9 sobre 10.
Mientras tanto, el segundo fallo, CVE-2023-20026, puede permitir la ejecución remota de código (RCE) con la advertencia de que un atacante necesitaría credenciales administrativas válidas en el dispositivo afectado para tener éxito, por lo que el fallo se califica como medio, con una puntuación CVSS de 6,5.
Ambas afectan a todos los routers RV016, RV042, RV042G y RV082 que han llegado al final de su vida útil (EoL). Como resultado, los aparatos ya no reciben actualizaciones de seguridad, según un aviso del 11 de enero del gigante de las redes.
El aviso señalaba que ambos fallos se debían "a una validación incorrecta de la entrada del usuario en los paquetes HTTP entrantes", por lo que un atacante sólo tenía que enviar una petición HTTP manipulada a la interfaz de gestión basada en web para obtener acceso root en el sistema operativo subyacente.
Las fuentes de este artículo incluyen un artículo en DarkReading.
