Une vulnérabilité critique dans les routeurs Cisco Small Business ne sera pas corrigée par le géant de l’équipement réseau, puisque les appareils ont atteint la fin de vie en 2019.

Suivi comme CVE-2021-34730 (score CVSS : 9,8), le problème réside dans le service Universal Plug-and-Play (UPnP) des routeurs, permettant à un attaquant distant non authentifié d’exécuter du code arbitraire ou de faire redémarrer un périphérique affecté de manière inattendue, entraînant un déni de service (DoS).

La vulnérabilité, qui, selon la société, est due à une validation incorrecte du trafic UPnP entrant, pourrait être exploitée pour envoyer une requête UPnP spécialement conçue à un appareil affecté, entraînant l’exécution de code à distance en tant qu’utilisateur root sur le système d’exploitation sous-jacent.

« Cisco n’a pas publié et ne publiera pas de mises à jour logicielles pour remédier à la vulnérabilité », a déclaré la société c’est noté dans un avis publié mercredi. « Les routeurs Cisco Small Business RV110W, RV130, RV130W et RV215W ont entré dans le processus de fin de vie. Les clients sont encouragés à migrer vers les routeurs Cisco Small Business RV132W, RV160 ou RV160W. »

Le problème affecte les produits suivants :

• Pare-feu VPN sans fil N RV110W
• Routeurs VPN RV130
• Routeurs VPN multifonctions sans fil N RV130W
• Routeurs VPN sans fil N RV215W

En l’absence de correctif, Cisco recommande aux clients de désactiver UPnP sur l’interface LAN. Quentin Kaiser de IoT Inspector Research Lab a été crédité d’avoir signalé la vulnérabilité.

« Trop souvent, après le remplacement d’un système ou d’un service, l’ancien système ou service continue de fonctionner ‘juste au cas où’ il serait à nouveau nécessaire. Le problème réside dans le fait que, comme dans le cas de cette vulnérabilité dans Universal Plug service -and-Play – le système ou le service hérité n’est généralement pas mis à jour avec les mises à jour ou les configurations de sécurité », a déclaré Dean Ferrando, responsable de l’ingénieur système (EMEA) chez Tripwire.

« Cela en fait une excellente cible pour les mauvais acteurs, c’est pourquoi les organisations qui utilisent toujours ces anciens routeurs VPN doivent immédiatement prendre des mesures pour mettre à jour leurs appareils. Cela devrait faire partie d’un effort global visant à renforcer les systèmes sur toute la surface d’attaque, ce qui aide à protéger l’intégrité des actifs numériques et à se protéger contre les vulnérabilités et les menaces de sécurité courantes qui peuvent être utilisées comme points d’entrée », a ajouté Ferrando.

CVE-2021-34730 marque la deuxième fois que la société a suivi l’approche de ne pas publier de correctifs pour les routeurs en fin de vie depuis le début de l’année. Plus tôt en avril, Cisco a exhorté les utilisateurs à mettre à niveau leurs routeurs comme contre-mesure pour résoudre un bogue critique d’exécution de code à distance (CVE-2021-1459) affectant le pare-feu VPN RV110W et les routeurs Small Business RV130, RV130W et RV215W.

En outre, Cisco a également émis une alerte pour une faille critique BadAlloc affectant le système d’exploitation en temps réel (RTOS) de BlackBerry QNX qui a été révélée plus tôt cette semaine, déclarant que l’entreprise « étudie sa gamme de produits pour déterminer quels produits et services peuvent être affectés par cette vulnérabilité ».