Cisco ha annunciato di recente che non rilascerà aggiornamenti software per una vulnerabilità con il suo servizio Universal Plug-and-Play (UPnP) nei router Cisco Small Business RV110W, RV130, RV130W e RV215W.
La vulnerabilità consente a un utente malintenzionato e remoto non autenticato di eseguire codice arbitrario o causare il riavvio imprevisto di un dispositivo interessato, determinando una condizione di negazione del servizio (DoS).
“Questa vulnerabilità è dovuta a una convalida errata del traffico UPnP in ingresso. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità inviando una richiesta UPnP predisposta a un dispositivo interessato. Un exploit riuscito potrebbe consentire all'utente malintenzionato di eseguire codice arbitrario come utente root sul sistema operativo sottostante o causare la ricarica del dispositivo, provocando una condizione DoS”, ha affermato Cisco in una nota.
“Cisco non ha rilasciato aggiornamenti software che risolvono questa vulnerabilità. Non sono disponibili soluzioni alternative per risolvere questa vulnerabilità.”
La vulnerabilità interessa solo i router della serie RV se hanno UPnP configurato ma il servizio UPnP è abilitato per impostazione predefinita sulle interfacce LAN e disabilitato per impostazione predefinita sulle interfacce WAN.
L'azienda ha spiegato che per capire se la funzione UPnP è abilitato sull'interfaccia LAN di un dispositivo, gli utenti devono aprire l'interfaccia di gestione basata sul Web e accedere a Impostazioni di base > UPnP. Se la casella di controllo Disabilita non è selezionata, UPnP è abilitato sul dispositivo.
Cisco ha affermato che sebbene la disabilitazione della funzione interessata si sia dimostrata efficace in alcuni ambienti di test, i clienti dovrebbero “determinare l'applicabilità e l'efficacia nel proprio ambiente e nelle proprie condizioni di utilizzo”.
Hanno anche avvertito che qualsiasi soluzione alternativa o mitigazione potrebbe danneggiare il funzionamento o le prestazioni della loro rete. Cisco ha invitato i clienti a migrare ai router Cisco Small Business RV132W, RV160 o RV160W.
La vulnerabilità e l'avviso di Cisco hanno suscitato un piccolo scalpore tra i leader IT, alcuni dei quali hanno affermato che sfruttarla richiede che l'autore della minaccia abbia accesso a una rete interna, che può essere facilmente ottenuta tramite un'e-mail di phishing o altri metodi.
Jake Williams, CTO di BreachQuest, ha aggiunto che una volta all'interno, un attore di minacce potrebbe utilizzare questa vulnerabilità per assumere facilmente il controllo del dispositivo utilizzando un exploit.
“I dispositivi vulnerabili sono ampiamente distribuiti in ambienti aziendali più piccoli. Alcune organizzazioni più grandi utilizzano i dispositivi anche per gli uffici remoti. La vulnerabilità risiede nell'uPnP, che ha lo scopo di consentire la riconfigurazione dinamica dei firewall per i servizi esterni che devono passare il traffico in entrata da Internet “, ha detto Williams a ZDNet.
“Anche se uPnP è una funzionalità estremamente utile per gli utenti domestici, non trova posto negli ambienti aziendali. Cisco probabilmente lascia la funzionalità uPnP abilitata sulla sua linea di prodotti per piccole imprese perché è meno probabile che tali ambienti dispongano di personale di supporto dedicato in grado di riconfigurare un firewall come necessario per un prodotto. Il personale in questi ambienti ha bisogno di tutto per “lavorare”. Nell'ambito della sicurezza, dobbiamo ricordare che ogni funzionalità è anche una superficie di attacco aggiuntiva in attesa di essere sfruttata”.
Williams ha aggiunto che anche senza la vulnerabilità, se uPnP è abilitato, gli attori delle minacce all'interno dell'ambiente possono utilizzarlo per aprire porte sul firewall, consentendo il traffico pericoloso da Internet.
“Poiché i dispositivi vulnerabili sono utilizzati quasi esclusivamente in ambienti di piccole imprese, con poco personale di supporto tecnico dedicato, non vengono quasi mai aggiornati”, ha osservato.
Il CEO di Vulcan Cyber Yaniv Bar-Dayan ha affermato che UPnP è un servizio molto diffamato utilizzato nella maggior parte dei dispositivi connessi a Internet, stimando che oltre il 75% dei router ha UPnP abilitato.
Mentre il Product Security Incident Response Team di Cisco ha affermato di non essere a conoscenza di alcun uso dannoso di questa vulnerabilità finora, Bar-Dayan ha affermato che UPnP è stato utilizzato dagli hacker per prendere il controllo di tutto, dalle telecamere IP alla rete aziendale infrastruttura.
Altri esperti, come il consulente senior per la sicurezza delle applicazioni nVisium Zach Varnell, hanno aggiunto che è estremamente comune che i dispositivi ricevano raramente o mai gli aggiornamenti.
“Gli utenti tendono a voler lasciare da soli abbastanza bene e non toccare un dispositivo che ha funzionato bene, anche quando ha bisogno di aggiornamenti importanti. Molte volte, gli utenti sfruttano anche la funzionalità plug-and-play, quindi apportano pochissime o zero modifiche alla configurazione, lasciando il dispositivo allo stato predefinito e, in definitiva, vulnerabile”, ha affermato Varnell.
Dirk Schrader, vicepresidente globale della ricerca sulla sicurezza di New Net Technologies, ha aggiunto che mentre UPnP è una delle utility meno conosciute dai consumatori medi, è ampiamente utilizzato nei dispositivi di rete SOHO come DSL o router via cavo, dispositivi WLAN e persino nelle stampanti.
“UPnP è presente in quasi tutti i dispositivi di rete domestica ed è utilizzato dal dispositivo per trovare altri dispositivi in rete. È stato preso di mira in precedenza e una delle grandi botnet, Mirai, faceva molto affidamento su UPnP. Dato che i dispositivi Cisco nominati sono collocati in nel segmento SOHO e SMB, i proprietari molto probabilmente non sono a conoscenza di UPnP e di cosa fa”, ha affermato Schrader.
“Questo e il fatto che non siano ancora disponibili soluzioni alternative o patch è una combinazione piuttosto pericolosa, poiché la base installata non è certamente piccola. La speranza può essere riposta sul fatto che, per impostazione predefinita, l'UPnP non è abilitato sulle interfacce WAN del dispositivo Cisco interessato, solo sul lato LAN. Poiché è improbabile che i consumatori cambino questo aspetto, per sfruttare questa vulnerabilità, gli aggressori sembrano aver bisogno di un footprint diverso e già stabilito all'interno della LAN. Ma gli aggressori controlleranno la vulnerabilità e vedranno cos'altro si può fare con esso.”
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Hardware Networking Settore tecnologico Internet of Things CXO Cloud 