Cisco met en garde contre des vulnérabilités de contournement d'authentification dans les routeurs
Un attaquant distant pourrait exploiter plusieurs vulnérabilités dans quatre routeurs Cisco pour petites entreprises afin de contourner l'authentification ou d'exécuter des commandes arbitraires sur un appareil affecté.
Les failles, qui pourraient affecter les routeurs Cisco Small Business RV160, RV260, RV340 et RV345 Series, pourraient permettre à un attaquant distant non authentifié d'exécuter un code arbitraire ou de provoquer un déni de service (DoS) sur un appareil affecté, selon la société.
Selon l'alerte de Cisco, cette vulnérabilité est due à une mauvaise validation des entrées utilisateur dans les paquets HTTP entrants. Un attaquant pourrait tirer parti de cette faille en envoyant une requête HTTP spécialement conçue à l'interface de gestion Web. Si l'exploitation réussit, l'attaquant peut être en mesure de contourner l'authentification et d'obtenir un accès root au système d'exploitation sous-jacent.
La faille de sécurité, identifiée comme CVE-2023-20025 (score CVSS de 9.0), affecte l'interface de gestion Web des routeurs et peut être exploitée pour contourner l'authentification. La saisie de l'utilisateur dans les paquets HTTP entrants n'étant pas correctement validée, un attaquant peut envoyer des requêtes HTTP modifiées au routeur, contournant ainsi l'authentification et obtenant un accès root au système d'exploitation.
Une compromission réussie pourrait, entre autres, permettre aux cyberattaquants d'écouter ou de détourner le trafic VPN et de session passant par l'appareil, de prendre pied pour un mouvement latéral dans le réseau de l'entreprise, ou d'exécuter des cryptomineurs, des clients de botnet ou d'autres logiciels malveillants.
Le premier bogue est un problème de contournement d'authentification de niveau critique (CVE-2023-20025) qui se trouve dans l'interface de gestion Web des dispositifs et qui a une cote de gravité CVSS de 9 sur 10.
La deuxième faille, CVE-2023-20026, peut permettre l'exécution de code à distance (RCE), mais l'attaquant doit disposer d'informations d'identification administratives valides sur le dispositif affecté pour réussir. Le bogue est donc classé moyen, avec un score CVSS de 6,5.
Ils affectent tous les routeurs RV016, RV042, RV042G et RV082 qui ont atteint leur fin de vie (EoL). En conséquence, les appareils ne reçoivent plus de mises à jour de sécurité, selon un avis du 11 janvier du géant des réseaux.
L'avis indique que les deux bogues sont "dus à une validation incorrecte des entrées utilisateur dans les paquets HTTP entrants", de sorte qu'un attaquant n'a qu'à envoyer une requête HTTP modifiée à l'interface de gestion Web pour obtenir un accès root au système d'exploitation sous-jacent.
Les sources de cette pièce incluent un article dans DarkReading.