Múltiples vulnerabilidades en varios productos de Cisco

Recientemente Cisco informó sobre 2 vulnerabilidades de severidad crítica, identificadas como CVE-2021-1479, CVE-2021-1459 y otras 2 de severidad alta identificadas como CVE-2021-1137, CVE-2021-1480, que podrían permitir a un atacante, remoto no autenticado, realizar una escalada de privilegios o ejecutar código arbitrario.

Productos y versiones afectadas:

• Rooter Cisco Small Business:
  • RV110W Wireless-N VPN Firewall;
  • RV130 VPN Router;
  • RV130W Wireless-N Multifunction VPN Router;
  • RV215W Wireless-N VPN Router.
• Software SD-WAN vManage, versión 18.4 y anteriores, 19.2, 19.3, 20.1, 20.3 y 20.4.

A continuación se describen las vulnerabilidades de severidad crítica y alta con respectivos identificadores.

El CVE-2021-1479 de severidad crítica con calificación 9.8, que afecta al software Cisco SD-WAN vManage y podrían permitir a un atacante remoto no autenticado ejecute código arbitrario en el sistema afectado ocasionando una condición de desbordamiento de búfer con privilegios de root, tras el envío de una solicitud de conexión especialmente diseñada.

El CVE-2021-1459 de severidad crítica con calificación 9.8, que afecta a la interfaz de administración basada en web de los enrutadores Cisco Small Business RV110W, RV130, RV130W y RV215W, podría permitir que un atacante remoto no autenticado ejecute código arbitrario en un dispositivo afectado. La vulnerabilidad se debe a una validación incorrecta de la entrada proporcionada por el usuario en la interfaz de administración basada en web. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTP diseñadas a un dispositivo de destino. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente del dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden esta vulnerabilidad.

Los CVE-2021-1137, CVE-2021-1480 de severidad alta con calificación 7.8, que afecta a el software Cisco SD-WAN vManage podrían permitir que un atacante remoto no autenticado ejecute código arbitrario o permitir que un atacante local autenticado obtenga privilegios escalados en un sistema afectado.

Recomendaciones

• En el caso del Software SD-WAN vManage, actualizar a las versiones estables 19.2.4, 20.3.3 y 20.4.1 respectivamente, ACTUALIZAR.
• En el caso de los routers Cisco, migrar a los productos RV132W, RV160 o RV160W, ya que no se publicarán actualizaciones al haber alcanzado el fin de su vida útil.
  • Ejecute todo el software como un usuario sin privilegios (uno sin privilegios administrativos) para disminuir los efectos de un ataque exitoso.
  • Recuerde a los usuarios que no deben visitar sitios web ni seguir enlaces proporcionados por fuentes desconocidas o no confiables.
  • Informar y educar a los usuarios sobre las amenazas que plantean los enlaces de hipertexto contenidos en correos electrónicos o archivos adjuntos, especialmente de fuentes no confiables.
  • Aplicar el principio de privilegio mínimo a todos los sistemas y servicios.

Referencias

• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-rce-q3rxHnvm
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-YuTVWqy
• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-varios-productos-cisco