0
0
Duas vulnerabilidades de segurança em roteadores Cisco para pequenas e médias empresas (SMBs) podem permitir que invasores cibernéticos não autenticados assumam o controle total de um dispositivo de destino para executar comandos com privilégios de root. Infelizmente, eles permanecerão sem patches, embora as explorações de prova de conceito estejam circulando por aí.
Entre outras coisas, um comprometimento bem-sucedido pode permitir que ciberataques espionem ou sequestrem VPN e o tráfego de sessão que flui pelo dispositivo, obtenham uma posição para movimentação lateral na rede de uma empresa ou executem criptomineradores, clientes de botnet ou outros malwares .
“É um alvo atraente do ponto de vista técnico. Como invasor, se você conseguir obter a execução remota de código no roteamento principal ou na infraestrutura de rede, sua capacidade de se mover lateralmente aumenta exponencialmente”, observou Casey Ellis, fundador e CTO da Bugcrowd, em um comentário enviado por e-mail.
Bug com classificação crítica oferece privilégios de root
O primeiro bug é um problema de bypass de autenticação de classificação crítica (CVE-2023-20025) que existe na interface de gerenciamento da Web dos dispositivos e carrega uma classificação de 9 em 10 na escala de vulnerabilidade-gravidade do CVSS.
Enquanto isso, a segunda falha – rastreada como CVE-2023-20026 – pode permitir a execução remota de código (RCE) com uma ressalva: um invasor precisaria ter credenciais administrativas válidas no dispositivo afetado para ser bem-sucedido, portanto, o bug é classificado como médio, com uma pontuação CVSS de 6,5.
Ambos afetam todas as versões dos roteadores RV016, RV042, RV042G e RV082, que atingiram o fim da vida útil (EoL). Como tal, os aparelhos não recebem mais atualizações de segurança, de acordo com o comunicado de 11 de janeiro da gigante das redes .
O comunicado observou que ambos os bugs são “devidos à validação inadequada da entrada do usuário nos pacotes HTTP recebidos”, portanto, um invasor precisa apenas enviar uma solicitação HTTP criada para a interface de gerenciamento baseada na Web para obter acesso root no sistema operacional subjacente.
A Cisco “está ciente de que o código de exploração de prova de conceito está disponível para as vulnerabilidades descritas neste comunicado”, afirmou, embora até agora não tenham sido detectados ataques na natureza.
Embora não haja soluções alternativas para resolver os bugs, uma possível mitigação seria desabilitar o gerenciamento remoto dos roteadores e bloquear o acesso às portas 443 e 60443, de acordo com a Cisco, o que significa que os roteadores só seriam acessíveis por meio da interface LAN.
“É sempre uma prática recomendada não permitir a administração remota de dispositivos de rede acessíveis pela Internet aberta; no entanto, pequenas empresas que usam alguns MSP/MSSPs precisam deixá-la aberta para seus provedores de serviços”, observou John Bambenek, principal caçador de ameaças da Netenrich. via email. “Dito isso, este é o pior de todos os mundos com código PoC publicamente disponível e sem … patches disponíveis.”
Substituir os dispositivos é o melhor curso de ação para proteger totalmente os negócios, observaram os pesquisadores.
Grande impacto, mesmo na EoL
Os pesquisadores notaram que a base instalada existente dos roteadores é significativa, mesmo que os dispositivos tenham sido descontinuados. Não é incomum que equipamentos desatualizados permaneçam em ambientes de negócios bem depois de terem sido cortados — oferecendo um rico playground para ciberataques.
“Os roteadores Cisco para pequenas empresas afetados por essas vulnerabilidades ainda têm uso razoavelmente generalizado, embora estejam oficialmente no fim de sua vida útil”, disse Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, por e-mail. “O desafio será que esses dispositivos são normalmente encontrados em pequenas empresas com recursos limitados ou usados por indivíduos que podem não ter orçamento para substituí-los.”
E não são apenas as pequenas e médias empresas que são afetadas, observou Ellis, da Bugcrowd: “Os roteadores SMB são amplamente implantados e, em um mundo pós-COVID híbrido/trabalho em casa, não é apenas um problema de SMB. Filiais, COEs e até mesmo residências escritórios são usuários potenciais do produto vulnerável.”
FONTE: DARK READING