Cisco corrige 5 vulnérabilités critiques au sein de ses routeurs
Cisco a publié des correctifs afin de combler plusieurs vulnérabilités détectées au sein des routeurs de la série Cisco Small Business RV. Exploiter ces vulnérabilités permet à l'attaquant de prendre le contrôle du routeur, à distance et sans authentification dans de nombreux cas. Faisons le point.
Au total, le géant Cisco a corrigé 15 vulnérabilités avec ces nouvelles mises à jour de sécurité, dont 5 vulnérabilités considérées comme critiques. Cela s'explique par le fait qu'un attaquant peut les utiliser pour obtenir un accès super-utilisateur sur l'appareil ou exécuter des commandes à distance, de manière assez simple.
CVE-2022-20699 : une vulnérabilité d'exécution de code à distance au sein du module SSL VPN et du processus de traitement des requêtes HTTP. Le score CVSS v3 est de 10.
CVE-2022-20700 et CVE-2022-20701 : ces deux vulnérabilités permettent à l'attaquant d'élever ses privilèges pour venir "root" sur les routeurs, en exploitant directement l'interface web de management. Là encore le score CVSS v3 est très élevé : 10 et 9.
CVE-2022-20708 : une vulnérabilité qui permet l'exécution de commande via l'interface de gestion web des routeurs, à cause de vérification insuffisante des données soumises par l'utilisateur. Score CVSS v3 de 10.
CVE-2022-20703 : une vulnérabilité qui permet à l'attaquant de contourner la vérification des signatures dans la fonction de vérification des images système. Score CVSS v3 de 9.3.
D'après Cisco, un attaquant peut combiner l'exploitation de plusieurs vulnérabilités afin de prendre le contrôle de votre routeur ! Autrement dit, en exploitant une première vulnérabilité accessible à distance et sans authentification, l'attaquant pourrait en exploiter une seconde.
De nombreux modèles sont affectés, mais tous les modèles ne sont pas affectés par toutes les CVE. Voici un état de la situation :
CVE-2022-20700, CVE-2022-20701, CVE-2022-20702, CVE-2022-20703, CVE-2022-20704, CVE-2022-20705, CVE-2022-20706, CVE-2022-20710, et CVE-2022-20712 affectent :
- RV160
- RV160W
- RV260
- RV260P
- RV260W
- RV340
- RV340W
- RV345
- RV345P
En complément, les CVE-2022-20699, CVE-2022-20707, CVE-2022-20708, CVE-2022-20709, CVE-2022-20711, et CVE-2022-20749 affectent seulement les produits suivants (qui peuvent être déjà concernés ci-dessus) :
- RV340
- RV340W
- RV345
- RV345P
Si vous utilisez un ou plusieurs de ces routeurs, il est fortement recommandé d'appliquer les correctifs dès que possible. Cela est d'autant plus urgent qu'un exploit (PoC) existe pour plusieurs de ces vulnérabilités ! En fait, l'équipe FlashBack a présenté un PoC pour la CVE-2022-20699 lors de l'événement de hacking Pwn2Own Austin 2021 en s'attaquant à un routeur Cisco à distance via l'interface WAN. Pedro Ribeiro, membre de la team FlashBack, a indiqué qu'un PoC public sera présenté lors de l'événement OffensiveCon 2022 qui se déroule du 4 au 5 février 2022 au travers d'une conférence intitulée "Pwn2Own'ing Your Router Over the Internet".
