Con un recente annuncio di sicurezza Cisco lancia l’allarme sulla presenza di differenti vulnerabilità per alcuni suoi prodotti per il mercato Small Business, ed in particolare i router della serie RV quando utilizzati come SSL Gateway, ossia come noti per accesso VPN.
La serie RV infatti è una famiglia di appliance per realizzare VPN in modo conveniente per l’accessibilità del personale aziendale da remoto. Si tratta di prodotti integrati dotati di firewall, crittografia avanzata e funzionalità di autenticazione per risolvere tutte le necessità relative alla gestione di una VPN in un unico box.
L’allarme deriva dal fatto che il numero di vulnerabilità è davvero alto: ben 15 differenti vulnerabilità, di cui 3 con punteggio massimo CVSS (10.0); un bouquet degno di nota, dunque: abbiamo esecuzione remota di codice, elevazione di privilegio, esecuzione di comandi arbitrari, violazione della sessione, caricamento e sovrascritture di file arbitrari (con la conseguente esecuzione degli stessi), possibile denial of service.
Per i curiosi le vulnerabilità sono CVE-2022-20699, CVE-2022-20700 e CVE-2022-20708 quelle da 10.0; CVE-2022-20706, CVE-2022-20701 e CVE-2022-20703 quelle sopra 8.0 ed infine le restanti CVE-2022-20710, CVE-2022-20709, CVE-2022-20749, CVE-2022-20702, CVE-2022-20704, CVE-2022-20705, CVE-2022-2070, CVE-2022-20711 e CVE-2022-20712.
Naturalmente, come Cisco stesso evidenzia, non tutte e 15 le vulnerabilità sono sfruttabili singolarmente, ma spesso necessitano di una combinazione delle stesse per consentire il completo sfruttamento: in ogni caso, quando questo avvenisse, è evidente come gli effetti siano devastanti.
Le appliance coinvolte nel problema, annuncia Cisco, sono le RV160, RV260, RV340 e RV345.
Cisco ha anche affermato di possedere PoC per gli exploit di "molte” di queste vulnerabilità, ma non ha lasciato trapelare nulla sull’avvenimento di attacchi tramite questi sfruttamenti.
I problemi devono essere davvero seri, dal punto di vista dei correttivi da produrre, in quanto la società ha dichiarato di aver intrapreso un lavoro e ottenuto una correzione parziale solo per i modelli RV160 e RV260, per un totale di sole 5 correzioni possibili. Le restanti correzioni saranno rilasciate “il prima possibile”, che è un tempo estremamente lungo se la minaccia fosse già in atto.
Una rapida indagine su Shodan infatti può dimostrare la gravità del momento, con più di 8000 dispositivi della sola famiglia RV34x accessibili pubblicamente su Internet, di cui il modello RV340 fa da padrone con oltre 5000 esemplari da solo.
Non resta dunque che aspettare patchare, aspettare, patchare, … sperando per il meglio.
