La serie de routers RV de CISCO presentó una serie de vulnerabilidades

routers RV de CISCO

Los routers RV de CISCO son los enrutadores de la serie RV para pequeñas empresas de CISCO. Estos ofrecen tecnología de red privada virtual (VPN) para que sus trabajadores remotos puedan conectarse a su red a través de una vía de Internet segura.

Pero, durante febrero, CISCO notificó que realizaron parches a las múltiples vulnerabilidades de seguridad críticas que afectan a los enrutadores de la serie RV. Estas debilidades podían utilizarse para elevar los privilegios y ejecutar código arbitrario en los sistemas afectados. A su vez, advirtió de la existencia de un código de explotación PoC que apunta a algunos de estos errores.

Los routers RV de CISCO sirven para los pequeños negocios

Los routers RV de CISCO presentaron 15 fallas, de las cuales tres fueron las de mayor riesgo (calificación CVSS de 10.0):

  • CVE-2022-20699
  • CVE-2022-20700
  • CVE-2022-20707

Estas afectan a sus enrutadores de las series Small Business RV160, RV260, RV340 y RV345. Al mismo tiempo, son fallas que pueden explotarse para eludir las protecciones de autenticación y autorización, recuperar y ejecutar software sin firmar e incluso causar condiciones de denegación de servicio (DoS).

Los fabricantes respondieron estar “conscientes de que el código de explotación de prueba de concepto está disponible para varias de las vulnerabilidades”.

routers RV de CISCO
CISCO se preocupa por problemas en los routers RV.

CISCO trabajó para sacar las actualizaciones

La respuesta de CISCO a estas vulnerabilidades fueron los parches para los routers RV. A continuación, detalles de fallas del sistema:

  • CVE-2022-20699 es un caso de ejecución remota de código que podría ser explotado por un atacante mediante el envío de solicitudes HTTP especialmente diseñadas a un dispositivo que funciona como una puerta de enlace SSL VPN, lo que conduce efectivamente a la ejecución de código malicioso con privilegios de raíz.
  • CVE-2022-20700, CVE-2022-20701 (puntuación CVSS: 9,0) y CVE-2022-20702 (puntuación CVSS: 6,0), que según la empresa se derivan de un mecanismo de ejecución de autorización insuficiente, podrían ser abusados para elevar los privilegios a rootear y ejecutar comandos arbitrarios en el sistema afectado.
  • CVE-2022-20708, (la tercera falla que recibe una puntuación de 10.0 en la escala CVSS). Se debe a una validación insuficiente de la entrada proporcionada por el usuario, lo que permite al adversario inyectar comandos maliciosos y obtenerlos en el sistema operativo Linux subyacente.

Además, CISCO enfatizó que no existen soluciones alternativas que aborden las debilidades mencionadas e instó a los clientes a actualizar la última versión del software lo antes posible para contrarrestar cualquier posible ataque.

CISCO: Entre la esperanza y lo posible, hay un puente

CISCO, fabricantes de los routers RV, son una compañía que está creando un mundo de potencial.

Una parte integral de su ADN es crear asociaciones duraderas con los clientes, trabajando juntos para identificar las necesidades de sus clientes y brindar soluciones que impulsen su éxito. Es por este motivo que buscan demostrar que pueden suceder cosas asombrosas cuando conectan lo que no está desconectado.

Fue en 1984, cuando Len Bosack y Sandy Lerner (ahora exesposa), trabajaban para la Universidad de Stanford y querían enviarse correos electrónicos desde sus respectivas oficinas, pero las deficiencias tecnológicas no permitían tal comunicación. Así que inventaron la tecnología para manejar protocolos de área local dispares y, como resultado al desafío, nació el enrutador multiprotocolo.

Ambos construyeron enrutadores en su casa y experimentaron con la red de Stanford. Inicialmente, Bosack y Lerner fueron a Stanford con la propuesta de comenzar a construir y vender los enrutadores, pero la escuela se negó. Fue entonces cuando fundaron su propia empresa, y la llamaron “Cisco”, tomado del nombre de la ciudad cercana, San Francisco. 

 Facebook: Eagle Tech Corp

Instagram: @eagletech_corp

Twitter: @eagletechcorp

LinkedIn: Eagle Tech

YouTube: Eagle Tech Corp

Al Día

Articulos Relacionados