Un nouvel exploit menace plus de 9000 routeurs RV320/RV325 potentiellement piratables de Cisco à travers le monde

Si la connectivité et la sécurité de votre organisation repose sur les routeurs Cisco RV320 ou RV325 Dual Gigabit WAN VPN, vous devez immédiatement installer la dernière mise à jour micrologicielle sortie par le vendeur la semaine dernière.

Des pirates ont largement exploité deux graves vulnérabilités touchant les routeurs et ont été récemment patchées après qu’un chercheur en sécurité ait sorti la preuve de concept de cet exploit la semaine dernière sur Internet. 

Les vulnérabilités en question reposent sur une faille dans l’injection de commandes (nommée CVE-2019-1652) et une faille d’exposition d’informations (nommée CVE-2019-1653),  et la combinaison des deux peut permettre à un attaquant à distance de prendre le plein contrôle d’un routeur Cisco.

Le premier problème se retrouve dans les routeurs RV320 et RV325 Dual Gigabit WAN VPN fonctionnant avec les versions logicielles allant de 1.4.2.15 à 1.4.2.19, et le deuxième affecte les versions 1.4.2.15 et 1.4.2.17, selon les déclarations de Cisco.

Les deux vulnérabilités, découvertes et sagement rapportées à l’entreprise concernée par la firme allemande de sécurité RedTeam Pentesting, résident dans l’interface de gestion basée sur le web et utilisée pour les routeurs, qui se retrouvent exploitables à distance.

•CVE-2019-1652 : La faille permet à un attaquant distant authentifié et avec des privilèges administrateur d’exécuter des commandes arbitraires sur le système de l’appareil affecté.
•CVE-2019-1653 : Cette faille ne nécessite aucune authentification pour atteindre le portail de gestion basée sur le web du routeur, permettant ainsi aux attaquants de soutirer des informations sensibles incluant le fichier de configuration du routeur qui contient les données de connexions hashées en MD5 et les informations de diagnostic.

Le code d'exploitation PoC ciblant les routeurs Cisco RV320 / RV325 publiés sur Internet exploite d'abord CVE-2019-1653 pour extraire le fichier de configuration du routeur afin d'obtenir ses informations d'identification hashées, puis exploite CVE-2019-1652 pour exécuter des commandes arbitraires et obtenir un contrôle total de l’appareil ciblé.

Les chercheurs en cyber-sécurité de chez Bad Packets ont déclaré avoir trouvé au moins 9657 routeurs Cisco à travers le monde (6247 RV320 et 3410 RV325) vulnérables à la possibilité de voir leurs informations exposées, la plupart se trouvant aux Etats-Unis.

L’entreprise a partagé une carte interactive qui recense les routeurs RV320/RV325 vulnérables dans 122 pays et sur le réseau de 1619 fournisseurs de services internet uniques.

Bad Packets a déclaré que ses honeypots avaient détecté, samedi, une activité d’analyse opportuniste visant les routeurs vulnérables de plusieurs hôtes, suggérant que les pirates informatiques essayaient activement d’exploiter les failles pour prendre le contrôle total de ces appareils.

La meilleure manière de vous protéger de ces attaques est d’installer la dernière mise à jour micrologicielle 1.4.2.20 pour les RV320 et RV325 le plus rapidement possible.

Les administrateurs qui n’ont pas encore appliqué la mise à niveau sont vivement incités à modifier les informations de connexion pour le Wifi et leur administration du routeur en se considérant comme déjà compromis.