Cisco a conseillé à ses clients d’échanger leurs anciens routeurs VPN RV pour petites entreprises contre des modèles plus récents, car les anciens présentent des vulnérabilités très graves qu’il ne corrigera pas.
Tel que rapporté par BipOrdinateur, la société a récemment découvert une vulnérabilité liée à une validation insuffisante des entrées utilisateur des paquets HPPT entrants. En envoyant une « demande spécialement conçue » à l’interface de gestion Web de ces appareils, un attaquant pourrait se retrouver avec des privilèges de niveau racine. Essentiellement, ils obtiendraient un accès gratuit au point de terminaison (s’ouvre dans un nouvel onglet).
Suivie sous le nom de CVE-2022-20825, la faille a un score de gravité de 9,8, elle est donc assez dangereuse. Il a été trouvé dans quatre modèles : le pare-feu VPN Wireless-N RV110W, le routeur VPN RV130, le routeur VPN multifonction Wireless-N RV130W et le routeur VPN Wireless-N RV215W.
Fin de vie
Cependant, ces modèles ont atteint le statut de fin de vie et ne seront donc pas corrigés.
Une petite mise en garde est que l’interface de gestion à distance basée sur le Web sur les connexions WAN doit être activée pour que la faille soit exploitable, et par défaut, ce n’est pas le cas. Pourtant, de nombreux appareils exposés peuvent être trouvés avec une recherche rapide Shodan.
Pour revérifier si cette fonctionnalité est activée sur vos routeurs, connectez-vous à l’interface de gestion Web, accédez à Paramètres de base – Gestion à distance et décochez la case. De plus, c’est le seul moyen d’atténuer la menace, et les utilisateurs sont invités à le faire avant de passer à des modèles plus récents. Cisco aurait « pris en charge activement » les modèles RV132W, RV160 et RV160W.
RV160, ainsi que RV260, RV340 et RV345, ont récemment reçu un correctif pour cinq vulnérabilités avec un indice de gravité de 10/10. Parmi les possibilités pour les acteurs malveillants d’exploiter ces failles figurent l’exécution arbitraire de code et de commande, l’élévation des privilèges, l’exécution de logiciels non signés, le contournement de l’authentification et l’assimilation des appareils dans un botnet pour les attaques par déni de service distribué (DDoS).
Pour se protéger contre les cyberattaques de toutes sortes, il est conseillé aux entreprises de maintenir à jour le matériel et les logiciels, d’exécuter un antivirus et un pare-feu (s’ouvre dans un nouvel onglet) solution et éduquer les employés sur les dangers du phishing et des ransomwares.
Via BleepingComputer (s’ouvre dans un nouvel onglet)