A Cisco anunciou que corrigiu as vulnerabilidades de segurança de pré-autenticação que afetam vários roteadores VPN para pequenas empresas e permitem que hackers acionem remotamente uma condição de negação de serviço (DoS) ou executem comandos e códigos arbitrários nos dispositivos vulneráveis.
As duas falhas de segurança, rastreadas como CVE-2021-1609 (classificação 9,8/ 10 no sistema de pontuação comum de vulnerabilidades – CVSS) e CVE-2021-1602 (8,2 /10 no CVSS), foram encontradas nas interfaces de gerenciamento baseadas na web e existem devido a solicitações HTTP validadas incorretamente e à validação de entrada de usuário insuficiente, respectivamente.
A CVE-2021-1609 afeta os roteadores RV340, RV340W, RV345 e RV345P Dual WAN Gigabit VPN, enquanto a CVE-2021-1602 afeta os roteadores VPN RV160, RV160W, RV260, RV260P e RV260W.
Ambos os bugs podem ser explorados remotamente sem exigir autenticação como parte de ataques de baixa complexidade que não requerem interação do usuário. Os invasores podem explorar as vulnerabilidades enviando solicitações HTTP criadas com códigos maliciosos para as interfaces de gerenciamento baseadas na web dos roteadores afetados.
Gerenciamento remoto desativado
Felizmente, como a empresa explica, o recurso de gerenciamento remoto é desabilitado por padrão em todos os modelos de roteadores VPN afetados. “A interface de gerenciamento baseada na web para esses dispositivos está disponível por meio de conexões LAN locais por padrão e não pode ser desabilitada lá”, diz Cisco.
Ainda segundo a empresa, a interface também pode ser disponibilizada por meio da interface WAN, habilitando o recurso de gerenciamento remoto. Por padrão, o recurso de gerenciamento remoto está desabilitado nos dispositivos afetados.
Para descobrir se o gerenciamento remoto está habilitado em seus dispositivos, o usuário deve abrir a interface de gerenciamento baseada na web do roteador por meio de uma conexão LAN local e verificar se a opção “Basic Settings> Remote” Management está ativada.
Veja isso
Bug em software da Cisco permite criar conta de superusuário
Vulnerabilidade expõe vários produtos da Cisco a ataques DDoS
A Cisco lançou atualizações de software para lidar com essas vulnerabilidades e diz que não há soluções alternativas disponíveis para remover os vetores de ataque. Para baixar o firmware corrigido do Cisco Software Center, o usuário deve clicar em “Browse All” em Cisco.com e navegar para “Downloads Home> Roteadores> Small Business Routers> Small Business RV Series Routers”.
Exploração selvagem
Embora a Cisco diga que sua equipe de resposta a incidentes de segurança do produto (PSIRT) não está ciente de nenhum anúncio público ou uso malicioso das duas falhas de segurança, vulnerabilidades semelhantes de roteador foram usadas no passado por invasores.
Em agosto de 2020, a Cisco alertou sobre bugs de dia zero explorados ativamente (CVE-2020-3566 e CVE-2020-3569) em roteadores IOS XR de nível de operadora com roteamento multicast habilitado. A empresa corrigiu o dia zero no final de setembro daquele ano, um mês após o aviso inicial.
Um mês depois, em outubro, a Cisco alertou novamente sobre ataques que visam ativamente uma vulnerabilidade separada de alta severidade (CVE-2020-3118), afetando o IOS XR Network OS implantado nos mesmos modelos de roteador.
No mesmo dia, a Agência de Segurança Nacional (NSA) dos Estados Unidos também incluiu a CVE-2020-3118 entre as 25 vulnerabilidades de segurança visadas ou exploradas por operadores de ameaça patrocinados supostamente pelo governo chinês.
Em julho do ano passado, a Cisco também corrigiu outro bug de firewall ASA/FTD explorado ativamente e uma falha de execução remota de código crítica de pré-autenticação (RCE) que poderia levar ao controle total do dispositivo em dispositivos vulneráveis.