Cisco a publié mercredi des avis de sécurité pour informer les clients de plusieurs vulnérabilités critiques qui peuvent être exploitées à distance pour pirater les routeurs et les pare-feu des petites entreprises qui ne sont plus vendus.

L’un des défauts critiques, identifié comme CVE-2020-3330 et présentant un score CVSS de 9,8, affecte les pare-feu VPN sans fil N Cisco RV110W pour petites entreprises et permet à un attaquant distant et non authentifié de prendre le contrôle total d’un appareil en se connectant à l’aide d’un mot de passe par défaut et statique.

Un autre défaut critique, CVE-2020-3323, affecte les routeurs Small Business RV110W, RV130, RV130W et RV215W. Il permet à un pirate distant d’exécuter du code arbitraire sur le périphérique ciblé avec les privilèges root en lui envoyant une requête HTTP spécialement conçue. L’exploitation ne nécessite pas d’authentification.

Le troisième trou de sécurité critique résolu par la société cette semaine dans les routeurs pour petites entreprises est le CVE-2020-3144, qui pourrait être exploité pour contourner l’authentification et exécuter des commandes arbitraires avec des privilèges d’administrateur en envoyant des requêtes HTTP malveillantes à l’appareil. Les pare-feu VPN RV110W sans fil N et les routeurs RV130 VPN, RV130W sans fil N-Multifunction et RV215W Wireless-N VPN sont affectés.

Le dernier problème critique, CVE-2020-3331, affecte le pare-feu VPN RV110W sans fil N et le routeur VPN RV215W sans fil N. Un attaquant distant peut l’exploiter sans authentification pour exécuter du code arbitraire avec les privilèges root en envoyant des requêtes malveillantes à l’appareil ciblé.

Les routeurs et les pare-feu impactés ne sont plus vendus par Cisco, mais apparemment ils n’ont pas encore atteint la fin du support, donc la société les a toujours corrigés.

Des correctifs ont également été publiés pour une vulnérabilité critique d’élévation de privilèges affectant le logiciel Prime License Manager (PLM) de Cisco. Un attaquant disposant d’un nom d’utilisateur valide peut obtenir des privilèges d’administrateur sur le système.

Cisco a également informé ses clients cette semaine de la …