Cisco corrige deux failles critiques dans plusieurs routeurs VPN
Cisco a corrigé des failles de sécurité critiques dans ses routeurs VPN de la gamme Small Business. En exploitant ces vulnérabilités, un attaquant non authentifié peut exécuter des commandes à distance sur le routeur et déclencher un déni de service (DoS).
Tout d'abord, il faut savoir que ces deux failles de sécurité sont identifiées avec les références CVE-2022-20842 et CVE-2022-20827. Ces vulnérabilités ont été découvertes par des chercheurs en sécurité de chez IoT Inspector, de chez Chaitin et de l'équipe CLP. Elles se situent dans les interfaces de gestion Web des routeurs, au niveau de la fonction qui sert à mettre à jour la base de données de filtrage Web, à cause d'une validation insuffisante des données en entrée.
D'après Cisco, l'exploitation de ces deux failles de sécurité passe par une requête HTTP spécialement conçue et qui est envoyée à destination du routeur. Cette requête HTTP est exécutée à distance et ne nécessite pas d'être authentifiée, par contre, elle va permettre aux attaquants "d'exécuter du code arbitraire en tant que super-utilisateur sur le système d'exploitation ou de provoquer le redémarrage de l'appareil, ce qui entraîne un déni de service". Dans les deux cas, il est question de l'exécution de commandes avec les privilèges "root" sur le système basé sur Linux et la seule condition d'exploitation est de pouvoir joindre l'interface de gestion du routeur vulnérable.
Alors, quels sont les appareils Cisco concernés par ces deux failles de sécurité ? Cette liste des routeurs affectés comprend les routeurs VPN Cisco des séries RV160, RV260, RV340 et RV345 de la gamme Small Business, tout en sachant que la CVE-2022-20842 n'affecte que les deux derniers modèles. La liste détaillée est disponible sur le site de Cisco, avec le détail sur les versions de firmware.
La bonne nouvelle, c'est que Cisco a publié des mises à jour logicielles pour corriger les deux vulnérabilités donc si vous utilisez ces routeurs, vous savez ce qu'il vous reste à faire ! Autre bonne nouvelle, Cisco affirme ne pas avoir connaissance d'une exploitation active de ces vulnérabilités ni de l'existence d'exploits disponible publiquement.