Cisco non emetterà patch per vulnerabilità critiche su quattro router per le piccole aziende

Cisco non emetterà patch per vulnerabilità critiche su quattro router per le piccole aziende

Cisco ha annunciato la scoperta di due vulnerabilità definite come "critiche" su quattro suoi router destinati alle piccole imprese. Non ci saranno, però, patch correttive perché il supporto è terminato nel 2021

di pubblicata il , alle 12:59 nel canale Security
CiscoCloud Security
 

Molteplici vulnerabilità descritte come "critiche" sono state scoperte in quattro router Cisco per le piccole imprese. Tali vulnerabilità, per le quali esistono già degli attacchi proof of concept, permettono a un attaccante remoto di aggirare l'autenticazione ed eseguire comandi arbitrari. Il problema è che "Cisco non ha rilasciato e non rilascerà aggiornamenti software che correggono queste vulnerabilità" perché il supporto per i modelli coinvolti è terminato due anni fa.

Vulnerabilità critiche su router Cisco non riceveranno una patch

Non è la prima volta che Cisco non emette patch per vulnerabilità critiche trovate sui suoi prodotti, ma in questo caso la situazione è resa particolarmente delicata dal fatto che si tratta di quattro router destinati alle piccole imprese, notoriamente non le realtà migliori per attenzione alla sicurezza informatica.

Le vulnerabilità CVE-2023-20025 e CVE-2023-20026 colpiscono i router RV016, RV042, RV042G e RV082, parte della linea Cisco Small Business. Come riportato dall'annuncio di Cisco, le vulnerabilità consentono a un attaccante di aggirare l'autenticazione tramite pacchetti HTTP appositamente modificati per sfruttare un problema nella loro validazione. Il risultato è l'ottenimento dei permessi di root (ovvero, di amministrazione) sui router.

Cisco afferma che non emetterà delle patch per correggere i problemi. L'unica soluzione è quella di disabilitare l'accesso dall'esterno alle porte 443 e 60443 dei dispositivi coinvolti, di fatto disabilitando la possibilità di amministrarli da remoto. La motivazione dietro la mancanza di patch correttive è semplice: Cisco ha terminato il supporto software di tutti i modelli vulnerabili nel 2021 (il supporto hardware per i modelli RV042 e RV042G continuerà fino al 2025).

Si crea dunque la situazione apparentemente insensata e contraddittoria in cui Cisco continua a supportare l'hardware di dispositivi il cui software ha vulnerabilità senza rimedio. Il fatto poi che si tratti di modelli destinati alle piccole aziende, che statisticamente sono meno attente alla sicurezza, e che spesso i router funzionino senza bisogno di alcun intervento da parte degli utenti (quello che in inglese si chiama "set and forget"), fa sì che molto probabilmente sarà solo questione di tempo prima che questi dispositivi vengano attaccati con successo, con tutti i problemi conseguenti.

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
SpyroTSK17 Gennaio 2023, 13:51 #1
Io farei una legge dove visto che la garanzia minima è di 2 anni, per il reparto software, farei una legge che prevede che qualsiasi produttore debba rilasciare patch software per almeno 5 anni.
Da chi produce le lavatrici smart a firmware enterprise e oltretutto senza vincoli forzati di "sottoscrizione licenze" come nel caso di HPE ecc..
sbaffo17 Gennaio 2023, 13:51 #2
non si sa da quanto siano in commercio i router coinvolti, dipende tutto da quello. Se 10 o più anni ci può stare se meno 5 sembra poco serio, nel mezzo boh.
Comunque la UE dovrebbe intervenire sull'obsolescenza software e sulla sicurezza degli apparati critici per le reti, magari stabilendo per legge un supporto alle falle di sicurezza di almeno 7-10 anni dalla FINE della commercializzazione del prodotto. Parlo di roba aziendale non consumer eh.
Cfranco17 Gennaio 2023, 14:18 #3
Originariamente inviato da: sbaffo
non si sa da quanto siano in commercio i router coinvolti, dipende tutto da quello. Se 10 o più anni ci può stare se meno 5 sembra poco serio, nel mezzo boh.
Comunque la UE dovrebbe intervenire sull'obsolescenza software e sulla sicurezza degli apparati critici per le reti, magari stabilendo per legge un supporto alle falle di sicurezza di almeno 7-10 anni dalla FINE della commercializzazione del prodotto. Parlo di roba aziendale non consumer eh.


Sono tutti modelli 10/100 di fine anni 2000, il problema è che anche se ormai sono dei dinosauri ancora li vendono
Guitarscorpio17 Gennaio 2023, 14:25 #4
Originariamente inviato da: sbaffo
Se 10 o più anni ci può stare se meno 5 sembra poco serio, nel mezzo boh.


Per l'RV016 (10/100) su amazon trovi recensioni del 2005...
Il datasheet italiano è del 2011.
L'ultimo aggiornamento firmware della serie è di febbraio 2020.
sbaffo17 Gennaio 2023, 14:49 #5
Originariamente inviato da: Guitarscorpio
Per l'RV016 (10/100) su amazon trovi recensioni del 2005...
Il datasheet italiano è del 2011.
L'ultimo aggiornamento firmware della serie è di febbraio 2020.

beh allora sono ben vecchi, ci sta
Originariamente inviato da: Cfranco
Sono tutti modelli 10/100 di fine anni 2000, il problema è che anche se ormai sono dei dinosauri ancora li vendono

ma se davvero li hanno venduti fino a poco fa...
secondo me il tempo deve valere dalla fine della commercializzazione ufficiale (i fondi di magazzino su ebay non contano ovvio), non è che se li vendono per dieci anni come le auto, alla fine del decimo sono già fuori supporto, e chi li ha comprati da un anno se lo prende in....
janji7517 Gennaio 2023, 18:30 #6
Capisco lo stupore, ma è un comportamento standard da decenni non solo per Cisco, ma anche per altri vendor. Del resto, per fare un esempio, se vi comprate una Fiat Punto prima generazione usata da qualcuno, vi aspettare che Fiat faccia ancora i pezzi di ricambio? E comunque il supporto rimane per i problemi già noti, almeno fino al 2025...magari le automobili fossero supportate così a lungo!
giuvahhh18 Gennaio 2023, 03:43 #7
mi ricordo di avere comprato 2 switch sg110-24 sui 50euri nuovi precoviddi e ora ne costano 200. alla faccia che ladroni quelli di cisco.
sbaffo18 Gennaio 2023, 12:21 #8
Originariamente inviato da: janji75
Capisco lo stupore, ma è un comportamento standard da decenni non solo per Cisco, ma anche per altri vendor. Del resto, per fare un esempio, se vi comprate una Fiat Punto prima generazione usata da qualcuno, vi aspettare che Fiat faccia ancora i pezzi di ricambio? E comunque il supporto rimane per i problemi già noti, almeno fino al 2025...magari le automobili fossero supportate così a lungo!

Per legge mi pare che i produttori di auto devono garantire la reperibilità dei ricambi per dieci anni almeno. Poi per le auto esistono gli aftermarket, o ci si arrangia in qualche modo anche dopo decenni (vedi auto d'epoca), sul firmware invece ci può intervenire solo il produttore.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^