Cisco corrige des failles de pré-authentification critiques dans les routeurs VPN

0

Cisco a corrigé les vulnérabilités de pré-authentification affectant plusieurs routeurs VPN pour petites entreprises et permettant aux attaquants distants de déclencher une condition de déni de service ou d’exécuter des commandes et du code arbitraire sur des appareils vulnérables.

Les deux failles de sécurité identifiées comme CVE-2021-1609 (notées 9.8/10) et CVE-2021-1602 (8.2/10) ont été trouvées dans les interfaces de gestion Web et existent en raison de requêtes HTTP incorrectement validées et d’une validation insuffisante des entrées de l’utilisateur.

CVE-2021-1609 affecte les routeurs VPN Gigabit RV340, RV340W, RV345 et RV345P, tandis que CVE-2021-1602 affecte les routeurs VPN RV160, RV160W, RV260, RV260P et RV260W.

Les deux bogues sont exploitables à distance sans nécessiter d’authentification dans le cadre d’attaques de faible complexité qui ne nécessitent pas d’interaction avec l’utilisateur.

Les attaquants pourraient exploiter les vulnérabilités en envoyant des requêtes HTTP conçues de manière malveillante aux interfaces de gestion Web des routeurs concernés.

Gestion à distance désactivée sur tous les routeurs concernés

Heureusement, comme l’explique la société, la fonction de gestion à distance est désactivée par défaut sur tous les modèles de routeurs VPN concernés.

« L’interface de gestion Web de ces appareils est disponible par défaut via des connexions LAN locales et ne peut pas y être désactivée », explique Cisco.

« L’interface peut également être rendue disponible via l’interface WAN en activant la fonction de gestion à distance. Par défaut, la fonction de gestion à distance est désactivée sur les appareils concernés. »

cisco

Pour savoir si la gestion à distance est activée sur vos appareils, vous devez ouvrir l’interface de gestion Web du routeur via une connexion LAN locale et vérifier si l’option Paramètres de base > Gestion à distance est activée.

Cisco a publié des mises à jour logicielles pour remédier à ces vulnérabilités et affirme qu’aucune solution de contournement n’est disponible pour supprimer les vecteurs d’attaque.

Pour télécharger le micrologiciel corrigé à partir du centre logiciel de Cisco, vous devez cliquer sur Parcourir tout sur Cisco.com et accéder à la page d’accueil des téléchargements > Routeurs > Routeurs pour petites entreprises > Routeurs de la série RV pour petites entreprises.

Pas d’exploitation active

Alors que Cisco affirme que son « équipe de réponse aux incidents de sécurité des produits (PSIRT) n’est au courant d’aucune annonce publique ou utilisation malveillante » des deux failles de sécurité, des vulnérabilités de routeur similaires ont été ciblées dans le passé par des attaquants dans la nature.

En Août 2020, Cisco a mis en garde contre les failles zero-day activement exploités (CVE-2020-3566 et CVE-2020-3569) dans les routeurs IOS XR de classe opérateur avec le routage multidiffusion activé. La société a corrigé les zero-days fin septembre 2020, un mois après l’avertissement initial.

Un mois plus tard, en Octobre 2020, Cisco a de nouveau mis en garde contre des attaques ciblant activement une vulnérabilité distincte de gravité élevée (CVE-2020-3118) affectant le système d’exploitation réseau IOS XR déployé sur les mêmes modèles de routeurs.

Le même jour, la National Security Agency (NSA) des États-Unis a également inclus CVE-2020-3118 parmi 25 vulnérabilités de sécurité ciblées ou exploitées par des pirates informatiques sponsorisés par l’État chinois.

En Juillet 2020, Cisco a corrigé une autre faille de pare-feu ASA/FTD activement exploité et une faille critique d’exécution de code à distance de pré-authentification qui pourrait conduire à une prise de contrôle complète des appareils vulnérables.

Laisser un commentaire