Cisco a mis en garde contre deux vulnérabilités de sécurité affectant les routeurs Small Business RV016, RV042, RV042G et RV082 en fin de vie (EoL) qui, selon lui, ne seront pas corrigées, même s’il a reconnu la disponibilité publique de la preuve de concept (PoC ) exploiter.
Les problèmes sont enracinés dans l’interface de gestion Web du routeur, permettant à un adversaire distant de contourner l’authentification ou d’exécuter des commandes malveillantes sur le système d’exploitation sous-jacent.
Le plus grave des deux est CVE-2023-20025 (score CVSS : 9,0), qui est le résultat d’une mauvaise validation de l’entrée de l’utilisateur dans les paquets HTTP entrants.
Un acteur malveillant pourrait l’exploiter à distance en envoyant une requête HTTP spécialement conçue à l’interface de gestion Web des routeurs vulnérables pour contourner l’authentification et obtenir des autorisations élevées.
Le manque de validation adéquate est également la raison de la deuxième faille identifiée comme CVE-2023-20026 (score CVSS : 6,5), permettant à un attaquant disposant d’informations d’identification d’administrateur valides d’obtenir des privilèges de niveau racine et d’accéder à des données non autorisées.
« Cisco n’a pas publié et ne publiera pas de mises à jour logicielles pour remédier aux vulnérabilités », a déclaré la société. « Les routeurs Cisco Small Business RV016, RV042, RV042G et RV082 sont entrés dans le processus de fin de vie. »
Comme solutions de contournement, il est recommandé aux administrateurs de désactiver la gestion à distance et de bloquer l’accès aux ports 443 et 60443. Cela dit, Cisco avertit les utilisateurs de « déterminer l’applicabilité et l’efficacité [of the mitigation] dans leur propre environnement et dans leurs propres conditions d’utilisation. »
Hou Liuyang de Qihoo 360 Netlab a été crédité d’avoir découvert et signalé les failles à Cisco.
Le major de l’équipement réseau a en outre noté que bien qu’il soit au courant du code PoC dans la nature, il a déclaré qu’il n’avait observé aucune utilisation malveillante des vulnérabilités dans les attaques du monde réel.
