Les routeurs Cisco RV320/RV325 ciblés par une attaque

Une attaque contre deux modèles de routeurs Cisco très utilisés par les services en ligne et les grandes entreprises a débuté quelques heures après la publication d’une preuve de concept par un chercheur en sécurité. Cisco avait déjà diffusé un correctif.

Deux routeurs Cisco très populaires sont la cible d’une attaque malveillante depuis la fin de la semaine dernière. Il s’agit des modèles RV320/RV325 très populaire parmi les services en ligne et de grandes entreprises.

Deux failles de sécurité ont été détectées et communiquées confidentiellement à Cisco par la firme allemande RedTeam Pentesting. 

Un correctif publié par Cisco

La première vulnérabilité permet à un assaillant d’obtenir à distance des informations sensibles sur la configuration du routeur sans avoir besoin de mot de passe (CVE-2019-1653). La seconde faille permet un injection et une prise de contrôle à distance (CVE-2019-1652), toujours sans sésame.

Cisco a élaboré un correctif pour ces deux vulnérabilités qui est disponible depuis le 23 janvier. L’attaque a débuté quelques heures après que le chercheur en sécurité David Davidson ait publié une preuve de concept de ces failles sur GitHub.

Selon les recherches de Troy Mursch, expert pour Bad Packets, il y aurait actuellement 9.657 routeurs vulnérables dont 6.247 sont des RV320 et 3.410 des RV325. Il a créé une carte interactive qui montre que la grande majorité de ces appareils sont situés sur les réseaux des FAI américains.

La parade la plus simple consiste à mettre à jour le firmware de ces routeurs et à changer de mot de passe.