Cisco fait face à deux grosses failles de sécurité, activement exploitées dans ses routeurs RV320 et RV325 (Dual Gigabit WAN VPN). Associées, elles permettent une prise de contrôle totale des équipements.

La première (CVE-2019-1652) est de type injection de commande, tandis que la seconde (CVE-2019-1653) peut déclencher une fuite d’informations. Elles affectent toutes les deux les versions 1.4.2.15 à 1.4.2.19 des firmwares.

Cisco avait été averti des deux vulnérabilités de manière « responsable ». La situation s’est toutefois rapidement dégradée après la publication par des chercheurs de prototype d’exploitation durant le week-end.

On apprend sur le dépôt GitHub lié que la faille CVE-2019-1653 s’utilise en premier pour récupérer les fichiers de configuration, permettant d’obtenir le hash des identifiants. La faille CVE-2019-1652 autorise alors ensuite l’exécution de commandes arbitraires.

Selon la société de sécurité Bad Packets, il existe environ 10 000 routeurs vulnérables actuellement, résultat obtenu après un scanner rapide, avec deux tiers de RV320 et un tiers de RV325. Les failles étant activement exploitées, il est donc plus que recommandé de mettre à jour les équipements aussi rapidement que possible.

Les nouveaux firmwares sont en téléchargement depuis le site de Cisco. Pour les trouver, il faut passer par le bouton « Browse All » puis suivre le cheminement : Routers > Small Business Routers > Small Business RV Series Routers. Il faudra alors choisir le modèle qui vous intéresse, RV320 ou RV325.