Vulnerabilidad crítica en routers Cisco que no será corregida

Se ha descubierto un fallo de seguridad que permitiría la ejecución remota de código en routers Cisco Small Business, pero no será corregido debido a que se hallan fuera de su ciclo de vida.

Los routers pertenecientes a los modelos Cisco Small Business RV110W, RV130, RV130W y RV215W se encuentran afectados por una vulnerabilidad en la interfaz de administración. El fallo de seguridad es debido a una validación incorrecta de las entradas proporcionadas por el usuario, y permitiría ejecutar código arbitrario como root en el sistema operativo del dispositivo afectado.

Esta vulnerabilidad ha sido descubierta por el investigador de seguridad Treck Zhou. Se le ha asignado el identificador CVE-2021-1459 y una calificación CVSS de 9.8 sobre 10 debido a su gravedad junto a la posibilidad de ser aprovechada de forma remota y sin necesidad de autenticación.

Sin embargo, a pesar de tratarse de una vulnerabilidad crítica, Cisco no ha liberado ni lanzará actualizaciones para corregirla debido a que los dispositivos afectados alcanzaron el final del ciclo de vida, y desde el pasado mes de diciembre de 2020 no se ofrece mantenimiento para su software (End of SW Maintenance Releases). En su boletín de seguridad, el fabricante recomienda encarecidamente su reemplazo por dispositivos de los modelos Small Business RV132W, RV160 o RV160W.

En el momento de publicar el boletín, el equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) confirmó no tener conocimiento de ningún anuncio público, uso o explotación de la vulnerabilidad. Sin embargo esta situación podría cambiar en cualquier momento por lo que se recomienda a aquellos usuarios que mantengan dichos dispositivos en uso que tomen las precauciones necesarias.

Ver información original al respecto en Fuente>