Logiciels malveillants

En période de télétravail généralisé, CISCO dévoile des bogues de sécurité critiques affectant ses routeurs VPN pour PME

Dans son dernier bulletin de sécurité, Cisco dévoile que ses routeurs pour petites et moyennes entreprises RV160, RV160W, RV260, RV260P, et RV260W VPN sont affectés par des vulnérabilités dont la sévérité est jugée critique (la plus haute), et 9,8 /10 par CVSS.

Du moins si leur micrologiciel date d’avant la version 1.0.01.02, mise à disposition pour la première fois le 20 janvier 2021.

De références CVE-2021-1289, CVE-2021-1290, CVE-2021-1291, ces vulnérabilités permettent à un attaquant d’exécuter n’importe quel code à distance.

Pour cela, il lui suffit d’envoyer une requête spécialement conçue à l’interface de gestion basée sur le web du routeur ciblé. Car les requêtes http ne sont pas validées correctement par les routeurs.

Qui plus est, les deux autres vulnérabilités facilitent encore le travail des pirates en permettant à un attaquant distant non identifié de conduire des attaques de traversée de répertoires, ce qui leur permet d’obtenir un accès non autorisé au système de fichiers.

Il n’y a aucune autre solution que l’installation des mises à jour les plus récentes.

D’autres routeurs sont aussi affectés par des vulnérabilités similaires : RV016, RV042, RV042G, RV082, RV320, et RV325 sont affectés par les vulnérabilités CVE-2021-1319 à CVE-2021-1348, qui permettent à un administrateur de planter le routeur ou d’exécuter des commandes en tant que root.

Il est donc recommandé de mettre à jour immédiatement tous les appareils affectés.

Malheureusement, c’est plus facile à dire qu’à faire dans des petites et moyennes entreprises qui n’ont pas toujours des employés dédiés à l’informatique et qui doivent faire appel à des tiers spécialisés. Ils dépendent donc le plus souvent de la vigilance de leur partenaire, qui doit les avertir quand leur matériel est affecté par des vulnérabilités, et installer les correctifs.

En période de Covid-19 et de télétravail généralisé via des réseaux virtuels privés, les dégâts pourraient être considérables.