Les utilisateurs de routeurs de la gamme Small Business de Cisco doivent être vigilants. L'équipementier a alerté de l'existence de deux failles critiques dans les modèles RV016 (Multi-WAN VPN), RV042 (Dual WAN VPN), RV042G (Dual Gigabit WAN VPN) et RV082 (Dual WAN VPN). Ces failles rendent possible pour un attaquant de contourner l'authentification (CVE-2023-20025) ou d'exécuter des commandes arbitraires sur le système d'exploitation sous-jacent d'un matériel concerné (CVE-2023-20026).

Ces vulnérabilités sont dues à une validation incorrecte d'un input utilisateur dans les paquets HTTP entrants débouchant sur un risque d'exploit en envoyant une requête HTTP spécifique à l'interface de gestion Web. Concernant la CVE-2023-20025, un exploit réussi donne à un attaquant la capacité pour contourner l'authentification et obtenir un accès root sur le système d'exploitation sous-jacent, tandis que la CVE-2023-20026 ouvre la voie à des élévations de privilèges de niveau root et l'accès à des données non autorisées. « Pour exploiter cette vulnérabilité, un attaquant devrait disposer d'informations d'identification administratives valides sur le matériel concerné », précise Cisco.

Des produits arrivés en fin de support

Cisco n'a pas publié de mises à jour pour corriger ces deux failles et ne compte pas le faire. Rien d'exceptionnel à cette situation car le support pour ces routeurs - lancés au début des années 2010 - a été stoppé depuis quelques années déjà. Aucune solution de contournement n'est par ailleurs prévue. « Les clients doivent être conscients que toute solution de contournement ou atténuation mise en œuvre peut avoir un impact négatif sur la fonctionnalité ou les performances de leur réseau en fonction des scénarios de déploiement et des limitations intrinsèques du client », prévient toutefois le fournisseur.

Toutefois, deux mesures d'atténuation sont suggérées, à savoir désactiver la gestion de l'interface à distance et bloquer les accès aux ports 443 et 60443. « Bien que cette atténuation ait été déployée et ait fait ses preuves dans un environnement de test, les clients doivent déterminer l'applicabilité et l'efficacité dans leur propre environnement et dans leurs propres conditions d'utilisation », explique par ailleurs Cisco. A voir si les entreprises accepteront de faire de telles concessions, le cas échéant cela pourrait les inciter à changer pour du matériel plus récent.