Une vulnérabilité de haute gravité a été découverte dans un certain nombre de routeurs Cisco (s’ouvre dans un nouvel onglet) qui permet aux pirates de contourner l’authentification, d’obtenir un accès root au point de terminaison et même de lancer des commandes arbitraires sur le système d’exploitation sous-jacent lors de la deuxième étape de l’attaque.
La nouvelle est une gracieuseté de Cisco lui-même, qui a déclaré qu’il ne s’attaquerait pas à la faille étant donné qu’elle a été découverte dans des terminaux en fin de vie. La faille, identifiée comme CVE-2023-20025, affecte les routeurs Cisco Small Business RV016, RV042, RV042G et RV082. En envoyant une requête HTTP personnalisée à l’interface de gestion Web des routeurs vulnérables, les attaquants pourraient contourner l’authentification de l’appareil et l’exploiter à distance.
Les attaquants pourraient alors exploiter une deuxième vulnérabilité, également récemment révélée CVE-2023-2002, pour exécuter des commandes arbitraires sur le système d’exploitation de l’appareil.
Blocage des ports importants
Les bogues sont classés comme « critiques », mais Cisco ne s’en occupera pas, principalement parce que les appareils en question ne sont plus pris en charge par l’entreprise. Cependant, BleepingComputer a constaté que les routeurs RV042 et RV042G étaient disponibles à la vente jusqu’au 30 janvier 2020 et bénéficieront du support de l’entreprise jusqu’au 31 janvier 2025.
Il n’y a pas de solution de contournement pour la faille, mais les administrateurs peuvent désactiver l’interface de gestion Web des routeurs ou bloquer l’accès aux ports 443 et 60443, ce qui aiderait à bloquer les attaques potentielles.
Ce n’est pas la première fois que Cisco décide de ne pas corriger les vulnérabilités critiques de contournement de l’authentification. En septembre, rappelle BleepingComputer, une faille similaire a été découverte affectant RV110W, RV130, RV130W et RV2015W EoL. À l’époque, Cisco a suggéré aux clients de passer aux modèles RV132W, RV160 et RV160W.
En juin, une faille critique d’exécution de code à distance (RCE) (suivie sous le nom de CVE-2022-20825) a été découverte et n’a pas été contrôlée.
Les routeurs sont un élément crucial du transit des données et, à ce titre, constituent une cible majeure pour les cybercriminels. Par conséquent, il n’est pas rare que les chercheurs en cybersécurité et les équipementiers trouvent et corrigent régulièrement des failles très graves. Cependant, les failles non corrigées peuvent faire des ravages sur un réseau, car les acteurs de la menace n’ont pas à découvrir eux-mêmes de nouvelles vulnérabilités – ils peuvent simplement tirer parti de ce qui est déjà connu.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)