Attaques sur les routeurs Cisco RV110, RV130 et RV215

Deux jours après que Cisco ait corrigé une grave vulnérabilité dans une marque populaire de routeurs SOHO et un jour après la publication du code de preuve de concept, des pirates informatiques ont lancé des analyses et des attaques exploitant ledit bogue de sécurité pour prendre le contrôle de périphériques non corrigés.

La vulnérabilité , notée CVE-2019-1663 , était à prendre en compte lors de sa publication le 27 février, car l'équipe de Cisco lui avait attribué un score de gravité de 9,8 sur un maximum de 10.

Il a reçu une note aussi élevée parce que le bogue est simple à exploiter et ne nécessite pas de compétences de codage avancées ni de routines d’attaque compliquées; il contourne complètement les procédures d'authentification; Les routeurs peuvent être attaqués à distance, via Internet, sans que les attaquants aient besoin d'être physiquement présents sur le même réseau local que le périphérique vulnérable.

Les modèles concernés incluent les modèles Cisco RV110, RV130 et RV215, qui sont tous des routeurs WiFi déployés dans des petites entreprises et des résidences.

Cela signifie que les propriétaires de ces périphériques ne surveilleront probablement pas les alertes de sécurité de Cisco et que la plupart de ces routeurs resteront non corrigés - comme dans les grands environnements d'entreprise où le personnel informatique aurait déjà déployé les correctifs de Cisco.

Selon une étude réalisée par la société de cybersécurité Rapid7 , plus de 12 000 de ces appareils sont facilement disponibles en ligne, la grande majorité d'entre eux étant situés aux États-Unis, au Canada, en Inde, en Argentine, en Pologne et en Roumanie.

Selon Bad Packets, une entreprise de cyber-sécurité, tous ces appareils sont maintenant attaqués, et ont signalé avoir détecté des analyses le 1er mars.

Une analyse rapide vérifie la présence de "login.cgi" - recherche de routeurs vulnérables Cisco RV110W, RV130W et RV215W. 

Une preuve de concept pour CVE-2019-1663, qui autorise RCE, a récemment été publiée par @PenTestPartners : https://t.co/ndqhxGMgI9 pic.twitter.com/J3KG3xSz5w

- Rapport de mauvais paquet (@bad_packets) 1 mars 2019

 

La société a détecté des pirates informatiques recherchant ces types de routeurs à l'aide d'un exploit publié un jour plus tôt sur le blog de Pen Test Partners, une entreprise britannique spécialisée dans la cyber-sécurité.

C'est l'un des chercheurs de Pen Test Partners, accompagné de deux autres experts en sécurité chinois, qui ont découvert cette vulnérabilité l'année dernière.

Dans son billet de blog , Pen Test Partners a imputé la cause fondamentale de CVE-2019-1663 à des codeurs Cisco utilisant une fonction infamement non sécurisée du langage de programmation C, à savoir strcpy (copie de chaîne).

Le blog de la société expliquait comment, en utilisant cette fonction de programmation en C, le mécanisme d'authentification des routeurs Cisco RV110, RV130 et RV215 était ouvert à un débordement de mémoire tampon qui permettait aux attaquants d'inonder le champ du mot de passe et de joindre des commandes malveillantes exécutées avec admin. droits pendant les procédures d'authentification.

Les pirates qui ont lu l'article du blog semblent utiliser l'exemple fourni dans l'article Partenaires du test du stylet pour prendre le contrôle de périphériques vulnérables.

Tout propriétaire de ces appareils devra appliquer les mises à jour dès que possible. S'ils pensent que leur routeur a déjà été compromis, il est recommandé de réinitialiser le micrologiciel du périphérique.

Source : Zdnet