Mediante un aviso de seguridad publicado el miércoles 18 de agosto del presente año, la compañía de servicios y tecnología de redes Cisco dijo que una vulnerabilidad crítica en el servicio Universal Plug-and-Play (UPnP) de varios enrutadores VPN para pequeñas empresas no será parcheada porque los dispositivos han llegado al final de su vida útil.
La vulnerabilidad fue registrada como CVE-2021-34730 y calificado como crítica, teniendo una puntiación de 9.8/10; La falla es causado por una validación incorrecta del tráfico UPnP entrante y fue informado por Quentin Kaiser de IoT Inspector Research Lab. Los atacantes no autenticados pueden explotarlo para reiniciar los dispositivos vulnerables o ejecutar código arbitrario de forma remota como usuario ROOT en el sistema operativo subyacente.

Los modelos que tienen esta falla son los siguientes:
- RV110W
- RV130
- RV130W
- RV215W
SOLAMENTE si el servicio UPnP está activado. Además, que los modelos de enrutadores afectados no se consideran vulnerables si el servicio está deshabilitado en las interfaces LAN y WAN.
En palabras del comunicado de Cisco, dijo: «Cisco no ha lanzado ni lanzará actualizaciones de software para abordar la vulnerabilidad descrita en este aviso… Los enrutadores Cisco Small Business RV110W, RV130, RV130W y RV215W han entrado en el proceso de finalización de su vida útil».
La compañía solicita a los clientes que todavía usan estos modelos de enrutadores vulnerables, que migren a los enrutadores Cisco Small Business RV132W, RV160 o RV160W más nuevos que aún reciban actualizaciones de seguridad.
Si bien Cisco no planea lanzar actualizaciones de seguridad para abordar esta vulnerabilidad crítica, los administradores pueden eliminar el vector de ataque para bloquear los ataques deshabilitando el servicio UPnP en todos los enrutadores afectados a través de su interfaz de administración basada en web.
«Para determinar si la función UPnP está habilitada en la interfaz LAN de un dispositivo, abra la interfaz de administración basada en web y navegue hasta Configuración básica> UPnP», agregó Cisco. «Si la casilla de verificación Desactivar no está marcada, UPnP está habilitado en el dispositivo».
Además, Cisco dice que su equipo de respuesta a incidentes de seguridad de productos (PSIRT) no tiene conocimiento de ningún exploit público de prueba de concepto para explotar este Zero-day o cualquier actor de amenazas que explote el error en la naturaleza. Al menos por ahora.
Según Cisco, UPnP solo está habilitado de manera predeterminada para estos dispositivos en las interfaces LAN (red de área local) y deshabilitado de manera predeterminada para todas las interfaces WAN (red de área amplia).
Más información:

Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence