Cisco ne corrigera pas la faille zero-day dans les routeurs VPN en fin de vie

0

Dans un avis de sécurité publié récemment, Cisco a déclaré qu’une vulnérabilité critique dans le service Universal Plug-and-Play (UPnP) de plusieurs routeurs VPN pour petites entreprises ne sera pas corrigée car les appareils sont en fin de vie.

Le bug zero-day (identifié comme CVE-2021-34730 et évalué avec un score de gravité de 9,8/10) est causé par une validation incorrecte du trafic UPnP entrant et a été signalé par Quentin Kaiser de IoT Inspector Research Lab.

Des attaquants non authentifiés peuvent l’exploiter pour redémarrer des appareils vulnérables ou exécuter du code arbitraire à distance en tant qu’utilisateur root sur le système d’exploitation sous-jacent.

« Cisco n’a pas publié et ne publiera pas de mises à jour logicielles pour remédier à la vulnérabilité décrite dans cet avis », a déclaré la société.

« Les routeurs Cisco Small Business RV110W, RV130, RV130W et RV215W sont entrés en fin de vie.

Selon une annonce sur le site Web de Cisco, le dernier jour où ces routeurs de la série RV étaient disponibles en vente était le 2 décembre 2019.

La société demande aux clients qui utilisent encore ces modèles de routeurs de migrer vers les nouveaux routeurs Cisco Small Business RV132W, RV160 ou RV160W qui reçoivent toujours des mises à jour de sécurité.

De plus, Cisco affirme que son équipe de réponse aux incidents de sécurité des produits (PSIRT) n’a connaissance d’aucun exploit public de preuve de concept pour cette faille zero-day ni d’aucun pirate informatique exploitant le bogue dans la nature.

Atténuation disponible

Le bogue affecte les modèles de routeur RV110W, RV130, RV130W et RV215W UNIQUEMENT si le service UPnP est activé.

Selon Cisco, UPnP n’est activé par défaut que pour ces appareils sur les interfaces LAN (réseau local) et désactivé par défaut pour toutes les interfaces WAN (réseau étendu).

Les modèles de routeurs concernés ne sont pas considérés comme vulnérables si le service est désactivé sur les interfaces LAN et WAN.

Bien que Cisco ne prévoie pas de publier de mises à jour de sécurité pour remédier à cette vulnérabilité critique, les administrateurs peuvent supprimer le vecteur d’attaque pour bloquer les attaques en désactivant le service UPnP sur tous les routeurs concernés via leur interface de gestion Web.

« Pour déterminer si la fonctionnalité UPnP est activée sur l’interface LAN d’un périphérique, ouvrez l’interface de gestion Web et accédez à Paramètres de base > UPnP », a ajouté Cisco. « Si la case Désactiver n’est pas cochée, UPnP est activé sur l’appareil. »

Faille zero-day en attente d’un correctif

Cisco a révélé qu’un autre bogue d’exécution de code à distance (RCE) dans le lanceur Adaptive Security Device Manager (ADSM) divulgué le mois dernier est une faille zero-day qui n’a pas encore reçu de mise à jour de sécurité.

La société a également publié un correctif pour une autre vulnérabilité zero-day (CVE-2020-3556) dans le logiciel VPN Cisco AnyConnect Secure Mobility Client six mois après la divulgation initiale, même si elle était au courant du code d’exploitation de preuve de concept accessible au public.

Même si Cisco n’a pas expliqué la raison du retard, un correctif n’était probablement pas une priorité car il n’y avait aucune preuve d’abus dans la nature et les configurations par défaut n’étaient pas vulnérables aux attaques.

Bien que les pirates informatiques n’aient pas exploité ces deux failles, ils se sont jetés sur un bogue de l’ASA de Cisco (partiellement corrigé en octobre 2020 et entièrement résolu en avril 2021) immédiatement après la publication d’un exploit de preuve de concept sur Twitter.

Laisser un commentaire