Cisco dichiara che non risolverà l'RCE zero-day nei router VPN a fine vita

Cisco sta consigliando ai possessori di router RV per piccole imprese giunti a fine vita di passare a modelli più recenti dopo aver rivelato una vulnerabilità di esecuzione di codice remoto che non verrà risolta.

La vulnerabilità è classificata come CVE-2022-20825 e ha una valutazione di gravità CVSS pari a 9,8 su 10,0.

Secondo un avviso di sicurezza di Cisco, la falla è dovuta a un'insufficiente convalida dell'input dell'utente nei pacchetti HTTP in entrata sui dispositivi interessati.

Un utente malintenzionato potrebbe sfruttare questa situazione inviando una richiesta appositamente creata all'interfaccia di gestione Web, che porterebbe all'esecuzione di comandi con privilegi di livello root.

Impatto e rimedio

La vulnerabilità riguarda quattro modelli della serie Small Business RV, ovvero il Firewall VPN Wireless-N RV110W, il Router VPN Wireless-N RV130, il Router VPN Multifunzione Wireless-N RV130W e il Router VPN Wireless-N RV215W.

Questa vulnerabilità riguarda solo i dispositivi con l'interfaccia di gestione remota basata sul Web abilitata sulle connessioni WAN.

Sebbene la funzione di gestione remota non sia abilitata nella configurazione predefinita, una breve ricerca con Shodan ha rilevato dispositivi esposti.

Per determinare se la gestione remota è abilitata, gli amministratori devono accedere all'interfaccia web di gestione, accedere a "Impostazioni di base e gestione remota" e controllare lo stato della casella di controllo corrispondente.

Cisco dichiara che non rilascerà un aggiornamento di sicurezza per risolvere il problema CVE-2022-20825 perché i dispositivi non sono più supportati. Inoltre, non è disponibile alcuna mitigazione, se non la disabilitazione della gestione remota sull'interfaccia WAN, che dovrebbe essere effettuata in ogni caso per una migliore sicurezza generale.

Si consiglia agli utenti di applicare le modifiche alla configurazione fino alla migrazione ai router Cisco Small Business RV132W, RV160 o RV160W, che il fornitore supporta attivamente.

L'anno scorso Cisco aveva avvertito gli amministratori di passare ai modelli più recenti dopo che era stato rivelato che questi non avrebbero risolto una vulnerabilità critica di Universal Plug-and-Play (UPnP).

Questa settimana, Cisco ha corretto una vulnerabilità critica in Cisco Secure Email che potrebbe consentire agli aggressori di bypassare l'autenticazione e accedere all'interfaccia di gestione web del gateway e-mail di Cisco.