Une vulnérabilité Zero-Day qui ne va pas être corrigée dans les produits Cisco en fin de vie
Cisco conseille aux propriétaires de routeurs Small Business RV en fin de vie de passer à des modèles plus récents après la divulgation d'une vulnérabilité d'exécution de code à distance qui ne sera pas corrigée.
La vulnérabilité est répertoriée sous le nom de CVE-2022-20825 et a un indice de gravité CVSS de 9,8 sur 10,0. Elle concerne quatre modèles de la série Small Business RV, à savoir le pare-feu VPN sans fil RV110W, le routeur VPN RV130, le routeur VPN multifonction sans fil RV130W et le routeur VPN sans fil RV215W.
Selon un avis de sécurité de Cisco, la faille existe en raison d'une validation insuffisante des entrées utilisateur dans les paquets HTTP entrants sur les appareils concernés.
Un attaquant peut l'exploiter en envoyant une requête spécialement conçue à l'interface de gestion Web, ce qui entraîne l'exécution de commandes avec des privilèges de niveau racine.
Cette vulnérabilité n'affecte que les appareils dont l'interface de gestion à distance basée sur le Web est activée sur les connexions WAN.
Pour déterminer si la gestion à distance est activée, les administrateurs doivent se connecter à l'interface de gestion Web, naviguer vers "Basic Settings > Remote Management" et vérifier l'état de la case à cocher correspondante.
Cisco déclare qu'il ne publiera pas de mise à jour de sécurité pour résoudre le problème CVE-2022-20825 car les dispositifs ne sont plus pris en charge. En outre, il n'y a pas d'autre solution que de désactiver la gestion à distance sur l'interface WAN, ce qui devrait être fait de toute façon pour une meilleure sécurité globale.
Il est conseillé aux utilisateurs d'appliquer les changements de configuration jusqu'à ce qu'ils migrent vers les routeurs Cisco Small Business RV132W, RV160 ou RV160W, que le fournisseur prend activement en charge.