Une nouvelle faille critique, CVE-2019-1663, résidant dans les routeurs VPN et pare-feu sans fil Cisco a été rapporté seulement. Les entreprises devraient mettre à jour immédiatement pour protéger contre le défaut.
Plus précisement, CVE-2019-1663 est une grave vulnérabilité dans l'interface de gestion basée sur le Web du Cisco VPN RV110W Wireless-N Pare-feu, Cisco RV130W Wireless-N Router VPN multifonction, et Cisco VPN RV215W Wireless-N Router. L'exploit pourrait permettre à un non authentifié, attaquant distant d'exécuter du code arbitraire sur un périphérique affecté.
Selon le consultatif officiel, la vulnérabilité est déclenchée par une validation incorrecte des données fournies par l'utilisateur dans l'interface de gestion basée sur le Web.
La faille pourrait être exploitée si un attaquant envoie des requêtes HTTP malveillants à un dispositif ciblé. A la suite de cette, l'attaquant pourrait être en mesure d'exécuter du code arbitraire en tant qu'utilisateur haut privilège.
Dans cet esprit, les clients ayant activé la fonction de gestion à distance, une caractéristique qui est désactivé par défaut, sont exposés à une attaque à distance.
Cisco Produits concernés par CVE-2019-1663
La vulnérabilité affecte toutes les versions des produits Cisco suivants:
RV110W VPN sans fil N Pare-feu
RV130W Wireless-N Router VPN multifonction
RV215W VPN Routeur sans fil N
La vulnérabilité a été corrigé dans RV110W VPN sans fil N Pare-feu: 1.2.2.1, RV130W Wireless-N Router VPN multifonction: 1.0.3.45, et RV215W VPN Routeur sans fil N: 1.3.1.1.
Pour déterminer si la fonction de gestion à distance est activé pour un dispositif, les administrateurs peuvent ouvrir l'interface de gestion basée sur le Web et choisissez Paramètres de base et alors Gestion à distance. Si la case est cochée, la gestion à distance est activée pour le périphérique, Cisco explique.
On ne sait pas si la faille a été exploitée dans la nature. On sait que les chercheurs de la sécurité chinoise a révélé le bug lors de la conférence GeekPwn Shanghai qui a eu lieu en Octobre, 2018. Aucune solution ne disponible pour cette vulnérabilité.