🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Revelan vulnerabilidad crítica en enrutadores VPN de Cisco

Investigadores de seguridad han revelado una vulnerabilidad crítica en un subconjunto de enrutadores VPN para pequeñas empresas de Cisco Systems. La vulnerabilidad permitiría que un atacante remoto no autenticado tome el control de un dispositivo. Según estimaciones, existen al menos 8,800 sistemas expuestos a dicha vulnerabilidad.

Cisco abordó las vulnerabilidades (CVE-2021-1609) como parte de una gran cantidad de parches implementados la semana pasada. En total, las soluciones y los productos afectados son los siguientes:

  • Vulnerabilidades de administración web en Cisco RV340, RV340W, RV345 y RV345P Dual WAN Gigabit routers VPN.
  • Vulnerabilidad de ejecución remota de comandos de los routers VPN de las series RV160 y RV260 de Cisco Small Business.
  • Una vulnerabilidad de inyección de DLL de Cisco Packet Tracer para Windows.
  • Vulnerabilidad de escalada de privilegios del servidor Secure Shell de Cisco Network Services Orchestrator CLI.
  • Vulnerabilidad de escalada de privilegios en el servidor Secure Shell de ConfD CLI

Error crítico de ejecución remota de código (RCE) en enrutadores VPN Gigabit

La vulnerabilidad crítica afecta a los enrutadores VPN Dual WAN Gigabit del proveedor. Según el aviso, CVE-2021-1609 existe en la interfaz de administración web de los dispositivos y tiene una puntuación de vulnerabilidad-gravedad CVSSv3 de 9.8. Surge debido a una validación incorrecta de las solicitudes HTTP.

Según un análisis de Tenable, un atacante remoto no autenticado podría aprovechar la vulnerabilidad enviando una solicitud HTTP especialmente diseñada a un dispositivo vulnerable. Esto da como resultado la ejecución de código arbitrario, así como la capacidad de recargar el dispositivo, lo que da como resultado una denegación de servicio (DoS).

La administración remota de estos dispositivos está deshabilitada de manera predeterminada según Cisco, lo que frustraría tales ataques. Sin embargo, los investigadores de Tenable descubrieron que más de 8,800 dispositivos son de acceso público y vulnerables a la explotación.

Mientras tanto, una segunda vulnerabilidad que ha sido identificada como CVE-2021-1610 afecta a los mismos dispositivos. Esta es una vulnerabilidad de inyección de comandos de alta gravedad en la misma interfaz de administración web.

“Ambas vulnerabilidades existen debido a una validación incorrecta de las solicitudes HTTP y pueden explotarse enviando solicitudes HTTP especialmente diseñadas. Sin embargo, CVE-2021-1610 solo puede ser explotada por un atacante autenticado con privilegios de root. La explotación exitosa otorgaría a un atacante la capacidad de obtener la ejecución de comandos arbitrarios en el sistema operativo del dispositivo vulnerable”.

Tenable

La interfaz de administración web para los enrutadores VPN para pequeñas empresas está disponible de forma predeterminada a través de conexiones de red de área local. Esta no se puede deshabilitar y algunas versiones del software del enrutador solo pueden verse afectadas por una de las dos vulnerabilidades.

Sin explotación en el entorno

Aunque hasta ahora no se ha visto ninguna explotación de las vulnerabilidades en el entorno, Tenable advirtió que es probable que esto cambie.

En enero de 2019, Cisco publicó avisos para dos vulnerabilidades diferentes en sus enrutadores VPN WAN RV320 y RV325, según el análisis. Unos días después de la publicación de los avisos, se publicaron los scripts de explotación de prueba de concepto para estas vulnerabilidades, que fueron seguidos por un análisis activo de dispositivos vulnerables. Debido a este precedente histórico, es importante que las organizaciones parcheen estas últimas vulnerabilidades lo antes posible.

Si no es posible aplicar parches, los usuarios deben asegurarse de que la administración web remota esté deshabilitada.

Vulnerabilidades graves en productos de Cisco

Cisco también abordó varias vulnerabilidades de alta gravedad, con clasificaciones de gravedad que oscilan entre 8.8 y 7.8 en la escala CVSSv3.

La vulnerabilidad identificada como CVE-2021-1602 existe en la interfaz de administración web de los enrutadores VPN Cisco Small Business RV160, RV160W, RV260, RV260P y RV260W. Si se explota, podría permitir que un atacante remoto no autenticado ejecute comandos arbitrarios utilizando privilegios de nivel root, en el sistema operativo subyacente.

Al igual que los problemas del enrutador Gigabit VPN, la vulnerabilidad se debe a una validación insuficiente de la entrada del usuario. Y, un atacante podría aprovecharla enviando una solicitud diseñada a la interfaz de administración web. Sin embargo, un factor atenuante es el hecho de que solo se pueden ejecutar comandos sin parámetros, según Cisco.

Mientras tanto, una vulnerabilidad en Cisco Packet Tracer para Windows (CVE-2021-1593) podría permitir a un atacante local autenticado realizar un ataque de inyección de DLL en un dispositivo afectado. Un atacante debe tener credenciales válidas en el sistema Windows para tener éxito.

Esta vulnerabilidad se debe al manejo incorrecto de las rutas de directorio en tiempo de ejecución. Un atacante podría aprovechar esta vulnerabilidad insertando un archivo de configuración en una ruta específica del sistema. Esto puede provocar que se cargue un archivo DLL malicioso cuando se inicia la aplicación. Un exploit exitoso permitiría a un atacante con privilegios mínimos ejecutar código arbitrario en el sistema afectado con los privilegios de la cuenta de otro usuario”.

Vulnerabilidad en Cisco Network Services Orchestrator

La ultima vulnerabilidad grave identificada como CVE-2021-1572 afecta tanto a Cisco Network Services Orchestrator (NSO) como a las opciones ConfD para el servidor CLI Secure Shell (SSH). Es una vulnerabilidad de escalada de privilegios que podría permitir que un atacante local autenticado ejecutar comandos arbitrarios en el nivel de la cuenta bajo la cual se ejecuta el servicio, que comúnmente es root.

Para aprovechar la vulnerabilidad, un atacante debe tener una cuenta válida en un dispositivo afectado.

La vulnerabilidad existe porque el software afectado ejecuta incorrectamente el servicio de usuario SFTP en el nivel de privilegio de la cuenta que se estaba ejecutando cuando se habilitó el servidor SSH integrado para CLI. Un atacante con privilegios mínimos podría aprovechar esta vulnerabilidad al autenticarse en un dispositivo afectado y emitir una serie de comandos en la interfaz SFTP.

Cualquier usuario que pueda autenticarse en el servidor SSH integrado podría aprovechar el error, advirtió el Cisco.

Dado que las vulnerabilidades de Cisco son populares entre los ciberdelincuentes, los usuarios deben actualizar a las últimas versiones de los productos afectados.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información