El gigante de los equipos de red no solucionará la vulnerabilidad crítica de los enrutadores Cisco Small Business, ya que el dispositivo llegó al final de su vida útil en 2019.

rastreado como CVE-2021-34730 (Puntuación CVSS: 9,8) El problema está en el servicio Universal Plug-and-Play (UPnP) de los enrutadores, que permite a un atacante remoto no autenticado ejecutar código arbitrario o hacer que un dispositivo afectado se reinicie inesperadamente, lo que resulta en una denegación de servicio. (DoS) condición.

La vulnerabilidad, que la compañía cree que es causada por la autenticación incorrecta del tráfico UPnP entrante, podría explotarse para enviar una solicitud UPnP especialmente diseñada al dispositivo afectado, lo que resultaría en la ejecución remota de código como root en el sistema operativo base.

«Cisco no ha lanzado y no lanzará actualizaciones de software para abordar esta vulnerabilidad», dijo la compañía en un comunicado el miércoles. «Los enrutadores Cisco Small Business RV110W, RV130, RV130W y RV215W ingresaron al final del proceso de vida útil. Se alienta a los clientes a migrar a los enrutadores Cisco Small Business RV132W, RV160 o RV160W».

El problema afecta a los siguientes productos:

• Cortafuegos VPN inalámbrico-N RV110W
• Enrutadores VPN RV130
• Routers VPN multifunción RV130W Wireless-N
• Enrutadores VPN inalámbricos RV215W

En ausencia de una solución, Cisco recomienda que los clientes deshabiliten UPnP en la interfaz LAN. Quentin Kaiser del IoT Inspector Research Lab fue premiado por informar sobre la vulnerabilidad.

“Con demasiada frecuencia, después de que se reemplaza un sistema o servicio, el sistema o servicio anterior sigue funcionando” en caso de que “se necesite nuevamente. Por lo general, no se actualizan con actualizaciones o configuraciones de seguridad”, dijo Dean Ferrando, gerente de ingeniería de sistemas (EMEA) en Cable trampa.

«Esto lo convierte en un excelente objetivo para los malos jugadores, por lo que las organizaciones que aún usan estos antiguos enrutadores VPN deben tomar medidas inmediatas para actualizar sus dispositivos. Esto debería ser parte de un esfuerzo general para fortalecer los sistemas en toda la superficie ofensiva que ayude a proteger el integridad de los activos digitales y para proteger contra vulnerabilidades y amenazas de seguridad comunes que pueden usarse como puntos de entrada ”, agregó Ferrando.

CVE-2021-34730 es la segunda vez que la compañía elige un enfoque desde principios de año que no emite reparaciones para enrutadores al final de su vida útil. A principios de abril, Cisco solicitó a los usuarios que actualizaran sus enrutadores como contramedida para resolver un error de ejecución de código remoto similar (CVE-2021-1459) que afecta a los firewalls VPN RV110W y los enrutadores RV130, RV130W y RV215W para pequeñas empresas.

Además, Cisco también emitió un error crítico BadAlloc que afectaba al sistema operativo en tiempo real (RTOS) BlackBerry QNX, que salió a la luz a principios de esta semana, diciendo que la compañía estaba «investigando su línea de productos para determinar qué productos y servicios pueden verse afectados por este vulnerabilidad».