Cisco a annoncé cette semaine qu’il ne prévoyait pas de remédier à des dizaines de vulnérabilités affectant certains de ses routeurs pour petites entreprises.

Au total, 68 failles de haute gravité ont été identifiées dans les routeurs Cisco Small Business RV110W, RV130, RV130W et RV215W, mais la société affirme que les correctifs ne seront pas publiés, car ces périphériques ont atteint la fin de leur vie (EOL). Le dernier jour pour les versions de maintenance logicielle et les corrections de bogues était le 1er décembre 2020.

Les bogues de sécurité existent parce que l’entrée fournie par l’utilisateur à l’interface de gestion Web de la série de routeurs concernés n’est pas correctement validée, permettant ainsi à un attaquant d’envoyer des requêtes HTTP spécialement conçues pour exploiter ces problèmes.

Un attaquant capable d’exploiter avec succès ces vulnérabilités serait en mesure d’exécuter du code arbitraire avec les privilèges root sur le système d’exploitation sous-jacent. Un facteur atténuant, cependant, est que des informations d’identification d’administrateur valides sont requises pour l’exploitation.

Dans un avis détaillant 63 de ces failles, le géant de la technologie explique qu’un attaquant pourrait également en abuser pour redémarrer les appareils affectés, conduisant à une condition de déni de service (DoS).

Cisco note que l’interface de gestion Web de ces périphériques est accessible depuis le LAN ou via une connexion WAN, à condition que la gestion à distance soit activée. Cependant, la fonction de gestion à distance est désactivée par défaut sur ces appareils.

«Cisco n’a pas publié et ne publiera pas de mises à jour logicielles pour remédier aux vulnérabilités décrites […]. Les routeurs Cisco Small Business RV110W, RV130, RV130W et RV215W sont entrés dans le processus de fin de vie. Il est conseillé aux clients de se référer aux avis de fin de vie de ces produits », souligne la société.

Huit autres vulnérabilités qui n’ont pas été corrigées dans la même série de routeurs pour petites entreprises ont été évaluées comme étant de gravité moyenne. Ces bogues pourraient être abusés par des attaquants authentifiés et distants pour …