Cisco non pubblicherà più gli aggiornamenti di sicurezza del firmware per un numero selezionato di router della serie RV, che hanno ormai raggiunto la
fine del ciclo di vita (EoL). A chi ha ancora in uso questi dispositivi è fortemente consigliato un aggiornamento del parco macchine con soluzioni più recenti.
L'elenco dei prodotti interessati è molto lungo, fra questi spiccano le soluzioni
Cisco Small Business RV110W, RV130, RV130W e RV215W, che possono essere utilizzate sia come router, sia come firewall e VPN. hanno raggiunto i termini di fine vita fra il 2017 e il 2018, ed erano stati coperti dal supporto a pagamento fino al 1 dicembre 2020. Ora anche questa fase è scaduta.
La necessità di un avviso di sicurezza è dettata dal fatto che Cisco ha ricevuto
74 segnalazioni di bug che affliggono questi prodotti. Si va da problemi banali di negazione del servizio che bloccano i dispositivi, fino ad arrivare a falle nella sicurezza che potrebbero dare l'accesso agli account root. La situazione di fine vita dei prodotti tuttavia fa sì che
le patch software necessarie per chiuderli non saranno pubblicate. Allo stesso modo, i clienti non si devono aspettare mitigazioni o soluzioni alternative.
Negli avvisi pubblicati ieri si identificano tali vulnerabilità come
di alta e
di media gravità. Il primo caso interessa i modelli Cisco Small Business RV110W, RV130, RV130W e RV215W e riguarda l'iniezione di codice arbitrario nell'interfaccia di gestione o una
vulnerabilità denial di service. Il secondo caso riguarda gli stessi modelli, ma la vulnerabilità potrebbe consentire agli attaccanti da remoto di condurre attacchi XSS (Cross-Site Scripting) contro l'interfaccia utente.
La buona notizia è che nessuna delle vulnerabilità finora note è facile da sfruttare, e peraltro non risultano attacchi in natura che fruttino queste falle. È infatti
necessario che gli attaccanti siano in possesso delle credenziali per l'accesso al dispositivo.
Il consiglio è quindi quello di cambiare le password adottando chiavi il più complesse possibile, e usare il tempo che si guadagna per preparare e attuare un piano di migrazione verso attrezzature più nuove. Il tutto andrebbe comunque fatto nel giro di settimane, non anni.
Cisco consiglia anche verso quali prodotti migrare: gli RV132W, RV160 e RV160W forniscono le stesse funzionalità dei modelli a fine vita, ma sono più nuovi e pertanto beneficiano ancora del supporto attivo.