COORDINACIÓN GENERAL DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN

Vulnerabilidad crítica en routers Cisco que no será corregida

Fecha de Publicación: Lunes, 12 de Abril de 2021

Fuente: https://unaaldia.hispasec.com/2021/04/vulnerabilidad-critica-en-routers-cisco-que-no-sera-corregida.html

12 abril, 2021 Por Juan José Ruiz 

Se ha descubierto un fallo de seguridad que permitiría la ejecución remota de código en routers Cisco Small Business, pero no será corregido debido a que se hallan fuera de su ciclo de vida.

Los routers pertenecientes a los modelos Cisco Small Business RV110W, RV130, RV130W y RV215W se encuentran afectados por una vulnerabilidad en la interfaz de administración. El fallo de seguridad es debido a una validación incorrecta de las entradas proporcionadas por el usuario, y permitiría ejecutar código arbitrario como root en el sistema operativo del dispositivo afectado.

Esta vulnerabilidad ha sido descubierta por el investigador de seguridad Treck Zhou. Se le ha asignado el identificador CVE-2021-1459 y una calificación CVSS de 9.8 sobre 10 debido a su gravedad junto a la posibilidad de ser aprovechada de forma remota y sin necesidad de autenticación.

Sin embargo, a pesar de tratarse de una vulnerabilidad crítica, Cisco no ha liberado ni lanzará actualizaciones para corregirla debido a que los dispositivos afectados alcanzaron el final del ciclo de vida, y desde el pasado mes de diciembre de 2020 no se ofrece mantenimiento para su software (End of SW Maintenance Releases). En su boletín de seguridad, el fabricante recomienda encarecidamente su reemplazo por dispositivos de los modelos Small Business RV132W, RV160 o RV160W.

En el momento de publicar el boletín, el equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) confirmó no tener conocimiento de ningún anuncio público, uso o explotación de la vulnerabilidad. Sin embargo esta situación podría cambiar en cualquier momento por lo que se recomienda a aquellos usuarios que mantengan dichos dispositivos en uso que tomen las precauciones necesarias.

Más información:
Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Management Interface Remote Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-rce-q3rxHnvm

End-of-Sale and End-of-Life Announcement for the Cisco Small Business RV Series Routers (selected models)
https://www.cisco.com/c/en/us/products/collateral/routers/small-business-rv-series-routers/eos-eol-notice-c51-742771.html

Noticias Anteriores