Suite aux révélations d'un chercheur en sécurité nommé Eloi Vanderbeken sur la présence de backdoors dans des produits réseau, Cisco Systems a promis de publier les mises à jour de ses firmware pour supprimer la porte dérobée présente sur un de ses points d'accès sans fil et deux de ses routeurs. Cette fonctionnalité non documentée pourrait permettre à un attaquant distant non authentifié d'accéder à la partie administrative de ces appareils.

La vulnérabilité d'origine a été découverte par M.Vanderbeken pendant les vacances de Noël sur un routeur Linksys WAG200G. Il a constaté que l'appareil avait un service d'écoute sur le port TCP 32764, et que cette connexion permettait à un utilisateur distant d'envoyer des commandes non authentifiés à l'appareil et de réinitialiser le mot de passe administrateur. D'autres utilisateurs ont un peu plus tard rapporté que la même porte dérobée était présente dans des équipements Cisco, Netgear, Belkin et d'autres fabricants. Sur de nombreux matériels, ce backdoor est accessible depuis un réseau local ou sans fil, mais sur certains appareils, il est également accessible à partir d'Internet.

Trois produits Cisco incriminés

Cisco a identifié la vulnérabilité dans son point d'accès sans fil WAP4410N et ses routeurs WRVS4400N et RVS4000. L'équipementier de San José précise qu'il n'est plus responsable des routeurs Linksys, car il a vendu cette division grand public à Belkin début 2013. L'origine de cette vulnérabilité provient d'une interface de test qui peut être consulté côté LAN sur les routeurs WRVS4400N et RVS4000 et également en sans fil sur le point d'accès WAP4410N.

« Un attaquant pourrait exploiter cette vulnérabilité en accédant à l'appareil vulnérable à partir de l'interface LAN pour envoyer des commandes arbitraires dans le système d'exploitation sous-jacent », a déclaré Cisco dans un communiqué publié vendredi dernier. « Cette faille pourrait permettre à un attaquant d'accéder à certaines informations d'identification de l'appareil en mode administrateur, et lire la configuration de l'appareil. La faille peut également permettre à un attaquant d'envoyer des commandes sur le dispositif avec des privilèges élevés ».

Des petits malins cherchent à exploiter cette faille

La firme a fait remarquer qu'il n'y a aucune solution de contournement connues qui pourraient atténuer cette vulnérabilité en l'absence de mise à jour du firmware. Le SANS Internet Storm Center, un organisme de surveillance des cybermenaces, a déjà indiqué qu'il avait détecté sur Internet des sondes sur le port TCP 32764, probablement pour exploiter cette vulnérabilité.