Dans un bulletin, le constructeur avertit que quatre routeurs sont affectés par cinq failles critiques, dont trois de la plus haute sévérité. Or, des correctifs n’ont été publiés que pour deux des appareils. Le bulletin mentionne également dix autres failles, dont six ont une sévérité comprise entre 7 et 8,9 ?

Les modèles concernés sont les Small Business RV160, RV260, RV340 et RV345, dans toutes leurs déclinaisons. Pour les deux derniers, les correctifs sont disponibles et doivent être installés aussi rapidement que possible. Pour les deux premiers, des correctifs partiels uniquement.

Les trois failles les plus dangereuses ont toutes une note de 10/10 en sévérité, contre 9,3 et 9 pour les autres. Il s’agit de :

• CVE-2022-20699, qui peut être utilisée pour déclencher des exécutions arbitraires de code, à distance
• CVE-2022-20700, faille pouvant provoquer une escalade des privilèges si exploitée
• CVE-2022-20708, qui peut être utilisée pour des injections de commandes, y compris au sein du système Linux sous-jacent

Il est recommandé d’installer ces mises à jour aussi rapidement que possible. De son côté, Cisco annonce travailler au plus vite pour finir de colmater le reste des brèches dans les modèles RV160 et RV260. Et il vaudrait mieux, car Cisco indique être au courant que des proof-of-concept existent pour plusieurs brèches.

Si l’on en croit la société de sécurité Tennant, au moins 8 400 routeurs de la série RV34X sont accessibles publiquement. Cependant, elle ajoute ne pas avoir détecté d’exploitations dans les dépôts publics.