▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Router Cisco per le PMI a fine vita: niente patch per le nuove falle

Due falle su prodotti ormai a fine vita possono creare importanti problemi di sicurezza. Cisco consiglia alcune misure di mitigazione.

Vulnerabilità

L’11 gennaio 2023 Cisco ha pubblicato un advisory sul sito ufficiale notificando l’esistenza di due vulnerabilità nell'interfaccia di gestione web dei router Cisco Small Business RV016, RV042, RV042G e RV082. I prodotti hanno raggiunto la fine del ciclo di vita (End of Life), quindi non riceveranno aggiornamenti di sicurezza.

Le due falle sono monitorate con le sigle CVE-2023-20025 e CVE-2023-20026. La prima ha un punteggio CVSS di 9.0 su 10 e riguarda un problema di bypass dell'autenticazione che risiede nell'interfaccia di gestione basata sul web. Sfruttandola, un attaccante remoto non autenticato potrebbe bypassare l'autenticazione e ottenere l'accesso root sul sistema operativo sottostante.

La vulnerabilità CVE-2023-20026 ha un punteggio CVSS di 6.5 ed è dovuta a una convalida errata dell'input dell'utente all'interno dei pacchetti HTTP in ingresso. Un attaccante potrebbe sfruttarla inviando una richiesta HTTP predisposta all'interfaccia di gestione basata sul web, e mediante un exploit riuscito ottenere privilegi a livello di root e l’accesso a dati non autorizzati.


Nell'advisory è precisato che “Cisco non ha rilasciato e non rilascerà aggiornamenti software che risolvono queste vulnerabilità” dato che i prodotti sono a fine vita. Il colosso Hi Tech precisa inoltre che “non esistono soluzioni alternative per risolvere queste vulnerabilità, fatta eccezione per le misure di mitigazione: disattivare la gestione remota e bloccare l'accesso alle porte 443 e 60443. Così facendo i router resteranno accessibili solo tramite l'interfaccia LAN.

La sospensione del supporto era stata comunicata da molto tempo in maniera trasparente ed erano anche stati indicati i prodotti sostituitivi con cui si sarebbero potuti rimpiazzare quelli ormai obsoleti. Soprattutto nel caso dei router, i clienti dovrebbero prestare particolarmente attenzione alle tecnologie in uso, perché un prodotto datato non solo incorre nella mancanza di supporto, ma lavora anche con tecnologie che non sono in grado di garantire prestazioni e servizi offerti invece dai nuovi prodotti.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter