Cisco corrige 5 vulnérabilités critiques au sein de ses routeurs

Cisco a publié des correctifs afin de combler plusieurs vulnérabilités détectées au sein des routeurs de la série Cisco Small Business RV. Exploiter ces vulnérabilités permet à l'attaquant de prendre le contrôle du routeur, à distance et sans authentification dans de nombreux cas. Faisons le point.

Au total, le géant Cisco a corrigé 15 vulnérabilités avec ces nouvelles mises à jour de sécurité, dont 5 vulnérabilités considérées comme critiques. Cela s'explique par le fait qu'un attaquant peut les utiliser pour obtenir un accès super-utilisateur sur l'appareil ou exécuter des commandes à distance, de manière assez simple.

CVE-2022-20699 : une vulnérabilité d'exécution de code à distance au sein du module SSL VPN et du processus de traitement des requêtes HTTP. Le score CVSS v3 est de 10.

CVE-2022-20700 et CVE-2022-20701 : ces deux vulnérabilités permettent à l'attaquant d'élever ses privilèges pour venir "root" sur les routeurs, en exploitant directement l'interface web de management. Là encore le score CVSS v3 est très élevé : 10 et 9.

CVE-2022-20708 : une vulnérabilité qui permet l'exécution de commande via l'interface de gestion web des routeurs, à cause de vérification insuffisante des données soumises par l'utilisateur. Score CVSS v3 de 10.

CVE-2022-20703 : une vulnérabilité qui permet à l'attaquant de contourner la vérification des signatures dans la fonction de vérification des images système. Score CVSS v3 de 9.3.

D'après Cisco, un attaquant peut combiner l'exploitation de plusieurs vulnérabilités afin de prendre le contrôle de votre routeur ! Autrement dit, en exploitant une première vulnérabilité accessible à distance et sans authentification, l'attaquant pourrait en exploiter une seconde.

De nombreux modèles sont affectés, mais tous les modèles ne sont pas affectés par toutes les CVE. Voici un état de la situation :

CVE-2022-20700, CVE-2022-20701, CVE-2022-20702, CVE-2022-20703, CVE-2022-20704, CVE-2022-20705, CVE-2022-20706, CVE-2022-20710, et CVE-2022-20712 affectent :

  • RV160
  • RV160W
  • RV260
  • RV260P
  • RV260W
  • RV340
  • RV340W
  • RV345
  • RV345P

En complément, les CVE-2022-20699, CVE-2022-20707, CVE-2022-20708, CVE-2022-20709, CVE-2022-20711, et CVE-2022-20749 affectent seulement les produits suivants (qui peuvent être déjà concernés ci-dessus) :

  • RV340
  • RV340W
  • RV345
  • RV345P

Si vous utilisez un ou plusieurs de ces routeurs, il est fortement recommandé d'appliquer les correctifs dès que possible. Cela est d'autant plus urgent qu'un exploit (PoC) existe pour plusieurs de ces vulnérabilités !  En fait, l'équipe FlashBack a présenté un PoC pour la CVE-2022-20699 lors de l'événement de hacking Pwn2Own Austin 2021 en s'attaquant à un routeur Cisco à distance via l'interface WAN. Pedro Ribeiro, membre de la team FlashBack, a indiqué qu'un PoC public sera présenté lors de l'événement OffensiveCon 2022 qui se déroule du 4 au 5 février 2022 au travers d'une conférence intitulée "Pwn2Own'ing Your Router Over the Internet".

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4090 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.