Vulnérabilité critique sur des routeurs et firewall Cisco

Cisco vient d’alerter sur des risques d’attaques sur trois de ses produits réseau : le routeur RV215W Wireless-N VPN et sa version multifonction RV130W, ainsi que le firewall RV110W Wireless-N VPN. Des solutions destinées aux infrastructures de tailles modestes. En cas d’attaque réussie, un attaquant pourrait exécuter du code arbitraire sur les machines avec les droits administrateurs (mode root). Et ouvrir la porte à d’autres attaques potentielles. Une vulnérabilité classée en conséquence de niveau « Critical ».

La faille touche l’interface d’administration web. Selon le constructeur, elle est due à un mauvais contrôle des requêtes HTTP. « Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête HTTP conçue avec des données utilisateur personnalisées », prévient Cisco dans son alerte.

Faille XSS

Ce n’est d’ailleurs pas la seule faille qui affecte les routeurs et firewall concernés. Une autre vulnérabilité, de type cross-site scripting (XSS) touche également ces appareils. Elle peut permettre à un attaquant d’exécuter du code arbitraire à travers l’interface web de gestion des boîtiers ou d’accéder à des informations sensibles contenues dans le navigateur de la victime. Un risque que Cisco se contente de classer au niveau Medium.

Là aussi, c’est l’interface web de gestion qui est affectée. Toujours en regard de la (mauvaise) validation de certains paramètres envoyés en HTTP. Pour mener son attaque, le cybercriminel devra néanmoins convaincre un utilisateur de cliquer sur un lien conçu pour injecter une commande malveillante sur l’un des appareils touchés par la vulnérabilité, rassure Cisco. A l’utilisateur de redoubler de vigilance, donc.

Cisco ne corrige pas

D’autant que le constructeur n’a pas jugé bon de corriger ces vulnérabilités dans l’immédiat. « Il n’y a aucune solution de rechange pour traiter cette vulnérabilité », estime-t-il. Néanmoins, Cisco rappelle que si l’accès à l’interface de gestion peut se faire à distance en plus du réseau local, l’option est désactivée par défaut. Un moindre risque, donc. Sauf si, depuis l’installation des boîtiers, l’option de gestion à distance à été activée.

L’équipementier prévoit par ailleurs de mettre à jour le firmware des produits concernés pour corriger les défauts de l’interface de gestion. Mais il faudra patienter jusque dans le courant du troisième trimestre. A ce jour, Cisco dit n’avoir été alerté d’aucune tentative d’attaque publique ou d’utilisation malveillante de la faille du jour.

Lire également

Une vieille faille SAP expose les données des entreprises négligentes
Sécurité : Aruba Networks panse ses plaies
Faille zero day : des millions de serveurs Linux et 66 % du parc Android exposés