Cisco a conseillé à ses clients d'échanger leurs anciens routeurs VPN VR pour petites entreprises contre des modèles plus récents, car les plus anciens présentent des vulnérabilités très graves qu'ils ne résoudront pas.

Comme l'a rapporté BleepingComputer, la société a récemment découvert une vulnérabilité liée à une validation insuffisante des entrées utilisateur des paquets HPPT entrants. En envoyant une "requête spécialement conçue" à l'interface de gestion Web de ces appareils, un attaquant pourrait se retrouver avec des privilèges de niveau racine. Essentiellement, ils obtiendraient un accès gratuit au point de terminaison (s'ouvre dans un nouvel onglet).

Suivie sous le nom de CVE-2022-20825, la faille a un score de gravité de 9,8, ce qui la rend assez dangereuse. Il a été trouvé dans quatre modèles : le pare-feu VPN N sans fil RV110W, le routeur VPN RV130, le routeur VPN tout-en-un sans fil N RV130W et le routeur VPN N sans fil RV215W.

Fin de vie

Cependant, ces modèles ont atteint la fin de leur durée de vie utile et ne seront donc pas réparés.

Une mise en garde mineure est que l'interface de gestion à distance basée sur le Web sur les connexions WAN doit être activée pour que la faille soit exploitable, et par défaut ce n'est pas le cas. Pourtant, de nombreux appareils exposés peuvent être trouvés avec une recherche rapide Shodan.

Pour vérifier si cette fonctionnalité est activée sur vos routeurs, veuillez vous connecter à l'interface de gestion Web, accédez à Paramètres de base - Gestion à distance et décochez la case. De plus, c'est le seul moyen d'atténuer la menace, et les utilisateurs sont invités à le faire avant de passer à de nouveaux modèles. Cisco aurait « pris en charge activement » les modèles RV132W, RV160 et RV160W.

RV160, ainsi que RV260, RV340 et RV345, ont récemment reçu un correctif pour cinq vulnérabilités avec un indice de gravité de 10/10. Les opportunités pour les acteurs malveillants d'exploiter ces failles incluent l'exécution arbitraire de code et de commande, l'élévation de privilèges, l'exécution de logiciels non signés, le contournement de l'authentification et l'usurpation d'appareil dans un botnet pour les attaques par déni de service distribué (DDoS).

Pour se protéger contre les cyberattaques de toutes sortes, il est conseillé aux entreprises de maintenir à jour le matériel et les logiciels, d'exécuter une solution antivirus et pare-feu (ouvre dans un nouvel onglet) et de sensibiliser les employés aux dangers du phishing et du phishing ransomware.

Via BleepingComputer (Ouvre dans un nouvel onglet)

Share