Cisco dice que una nueva falla de omisión de autenticación que afecta a múltiples enrutadores VPN de pequeñas empresas no se reparará porque los dispositivos han llegado al final de su vida útil (EoL).
Este error de día cero (CVE-2022-20923) es causado por un algoritmo de validación de contraseña defectuoso que los atacantes podrían explotar para iniciar sesión en la VPN en dispositivos vulnerables usando lo que la compañía describe como “credenciales diseñadas” si la función del servidor VPN IPSec está habilitada.
“Una explotación exitosa podría permitir al atacante eludir la autenticación y acceder a la red VPN IPSec”, explicó Cisco en un aviso de seguridad emitido el miércoles.
Para determinar si el servidor VPN IPSec está habilitado en un enrutador, debe iniciar sesión en la interfaz de administración basada en web e ir a VPN > Servidor VPN IPSec > Configuración.
Si la casilla de verificación “Habilitar servidor” está marcada, el dispositivo está expuesto a intentos de explotación CVE-2022-20923.
Afortunadamente, Cisco dice que su Equipo de respuesta a incidentes de seguridad de productos (PSIRT) no encontró evidencia de explotaciones de prueba de concepto disponibles públicamente para este día cero o cualquier actor de amenazas que explote el error en la naturaleza hasta que se publicó el aviso.
Actualice a modelos de enrutadores más nuevos para mayor protección
Cisco solicitó a los clientes que aún usan los enrutadores RV110W, RV130, RV130W y RV215W afectados por esta vulnerabilidad de seguridad que se actualicen a modelos más nuevos que aún reciben actualizaciones de seguridad.
Según un anuncio de fin de venta en el sitio web de Cisco, el último día que estos enrutadores de la serie RV estuvieron disponibles para ordenar fue el 2 de diciembre de 2019.
“Cisco no ha lanzado y no lanzará actualizaciones de software para abordar la vulnerabilidad descrita en este aviso”, agregó la compañía .
“Se alienta a los clientes a migrar a los enrutadores Cisco Small Business RV132W, RV160 o RV160W”.
CVE-2022-20923 no es la primera vulnerabilidad de seguridad grave que afecta a estos modelos de enrutadores EoL que Cisco dejó sin parchear en los últimos años.
Por ejemplo, en agosto de 2021, la compañía dijo que no lanzaría parches de seguridad para una vulnerabilidad crítica (CVE-2021-34730) en estos enrutadores de la serie RV que permitían a los atacantes no autenticados ejecutar código arbitrario de forma remota como usuario raíz, pidiéndoles a los usuarios que migrar a modelos más nuevos.
En junio de 2022, Cisco volvió a recomendar a los propietarios que cambiaran a modelos más nuevos después de revelar una nueva vulnerabilidad crítica de ejecución remota de código (RCE) (CVE-2022-20825) que no se repararía.
fuente: bleepingcomputer[.]com