Cisco non fornirà una patch per correggere una vulnerabilità critica su alcuni suoi router

Cisco ha comunicato che non rilascerà alcuna patch per chiudere una falla di sicurezza critica su alcuni dei suoi router destinati ai piccoli uffici e agli uffici casalinghi: si tratta dei modelli Cisco Small Business RV110W, RV130, RV130W e RV215W. L'azienda afferma che non sono presenti modi per aggirare il problema e che l'unica soluzione è la sostituzione dei dispositivi coinvolti.

Falla critica in alcuni router Cisco non verrà risolta

Alcuni router a marchio Cisco sono stati individuati come vittime di una vulnerabilità che consente ad attaccanti da remoto non autenticati di eseguire codice arbitrario o di operare una denial of service. "Questa vulnerabilità è dovuta a una validazione impropria del traffico UPnP in ingresso. Un attaccante potrebbe sfruttare questa vulnerabilità inviando una richiesta UPnP formata appositamente a un dispositivo affetto da essa. Sfruttare con successo il problema potrebbe permettere all'attaccante di eseguire codice arbitrario come utente di root sul sistema operativo sotostante o portare il dispositivo a riavviarsi, arrivando così a una situazione di DoS", scrive Cisco.

L'azienda annuncia altresì che, nonostante la vulnerabilità venga categorizzata come "critica", non ci sarà alcuna patch per correggerla ("Cisco non ha rilasciato e non rilascerà aggiornamenti al software per chiudere la vulnerabilità descritta in questo avviso"). L'unico modo per risolvere interamente il problema è cambiare il dispositivo, dato che i router affetti dal problema hanno raggiunto la fine del supporto; il RV110W, ad esempio, è stato lanciato nel 2011 e non supporta molti degli ultimi protocolli, motivo per cui un cambio risulterebbe comunque positivo. Cisco afferma che disabilitando completamente UPnP (è disabilitato sulle porte WAN in via predefinita) si può mitigare il problema, ma non è noto se i sistemi risultino comunque vulnerabili a tipologie di attacco non ancora valutate dagli esperti.

Il problema non è di poco conto, poiché i router affetti dalla vulnerabilità sono per lo più destinati a piccole imprese e professionisti, spesso senza le competenze per capire che UPnP è abilitato sul loro router e che ciò li rende vulnerabili agli attacchi. Per dare una misura di quanto UPnP sia importante sul fronte della sicurezza, la botnet più grande del mondo, Mirai, era costruita sfruttando intensamente tale protocollo. Il problema è che UPnP rende la configurazione molto più semplice, in particolare per persone senza competenze specifiche nell'IT, e diventa dunque spesso fondamentale perché l'infrastruttura informatica funzioni senza dover intervenire manualmente sulla configurazione.

Proprio in virtù di queste problematiche, la decisione di Cisco di non intervenire con alcuna patch nonostante si tratti di un problema critico ha sollevato qualche perplessità nel mondo della sicurezza informatica. La nota positiva è che non sono al momento noti casi di sfruttamento della vulnerabilità. Viene, però, da pensare che sia solo questione di tempo.