Molteplici vulnerabilità descritte come “critiche” sono state scoperte in quattro router Cisco per le piccole imprese. Tali vulnerabilità, per le quali esistono già degli attacchi proof of concept, permettono a un attaccante remoto di aggirare l’autenticazione ed eseguire comandi arbitrari. Il problema è che “Cisco non ha rilasciato e non rilascerà aggiornamenti software che correggono queste vulnerabilità” perché il supporto per i modelli coinvolti è terminato due anni fa.
Vulnerabilità critiche su router Cisco non riceveranno una patch
Non è la prima volta che Cisco non emette patch per vulnerabilità critiche trovate sui suoi prodotti, ma in questo caso la situazione è resa particolarmente delicata dal fatto che si tratta di quattro router destinati alle piccole imprese, notoriamente non le realtà migliori per attenzione alla sicurezza informatica.
Le vulnerabilità CVE-2023-20025 e CVE-2023-20026 colpiscono i router RV016, RV042, RV042G e RV082, parte della linea Cisco Small Business. Come riportato dall’annuncio di Cisco, le vulnerabilità consentono a un attaccante di aggirare l’autenticazione tramite pacchetti HTTP appositamente modificati per sfruttare un problema nella loro validazione. Il risultato è l’ottenimento dei permessi di root (ovvero, di amministrazione) sui router.
Cisco afferma che non emetterà delle patch per correggere i problemi. L’unica soluzione è quella di disabilitare l’accesso dall’esterno alle porte 443 e 60443 dei dispositivi coinvolti, di fatto disabilitando la possibilità di amministrarli da remoto. La motivazione dietro la mancanza di patch correttive è semplice: Cisco ha terminato il supporto software di tutti i modelli vulnerabili nel 2021 (il supporto hardware per i modelli RV042 e RV042G continuerà fino al 2025).
Si crea dunque la situazione apparentemente insensata e contraddittoria in cui Cisco continua a supportare l’hardware di dispositivi il cui software ha vulnerabilità senza rimedio. Il fatto poi che si tratti di modelli destinati alle piccole aziende, che statisticamente sono meno attente alla sicurezza, e che spesso i router funzionino senza bisogno di alcun intervento da parte degli utenti (quello che in inglese si chiama “set and forget”), fa sì che molto probabilmente sarà solo questione di tempo prima che questi dispositivi vengano attaccati con successo, con tutti i problemi conseguenti.