Sécurité : Cisco affirme qu’il n’y a pas de solution de contournement pour la vulnérabilité 0-Day enregistrée sur son service Universal Plug-and-Play (UPnP), présent sur certains de ses routeurs VPN en fin de vie.
Cisco a récemment annoncé qu’il ne publiera pas de mise à jour logicielle pour une vulnérabilité de son service Universal Plug-and-Play (UPnP) dans les routeurs Cisco Small Business RV110W, RV130, RV130W et RV215W. Il s’agit d’une menace grave : la vulnérabilité permet en effet à un attaquant distant non authentifié d’exécuter du code arbitraire ou de provoquer un redémarrage inattendu d’un appareil affecté, ce qui entraîne un déni de service (DoS).
« Cette vulnérabilité est due à une validation incorrecte du trafic UPnP entrant. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête UPnP élaborée à un appareil affecté. Une exploitation réussie pourrait permettre à l’attaquant d’exécuter du code arbitraire en tant qu’utilisateur root sur le système d’exploitation sous-jacent ou de provoquer le rechargement de l’appareil, ce qui entraînerait une condition de déni de service », fait savoir Cisco dans un communiqué. Et de préciser que « Cisco n’a pas publié de mises à jour logicielles qui corrigent cette vulnérabilité ». Raison invoquée par le géant technologique : « il n’y a pas de solution de contournement qui corrige cette vulnérabilité ».
A noter que la vulnérabilité n’affecte les routeurs de la série RV que s’ils ont configuré UPnP, mais le service UPnP est activé par défaut sur les interfaces LAN et désactivé par défaut sur les interfaces WAN. La société explique que pour savoir si la fonction UPnP est activée sur l’interface LAN d’un appareil, les utilisateurs doivent ouvrir l’interface de gestion web et naviguer jusqu’à Basic Settings > UPnP. Si la case « Disable » n’est pas cochée, UPnP est activé sur l’appareil.
Aucune solution de contournement possible
Cisco explique que si la désactivation de la fonction concernée s’est avérée efficace dans certains environnements de test, les clients doivent « déterminer l’applicabilité et l’efficacité dans leur propre environnement et dans leurs propres conditions d’utilisation ». Le géant technologique avertit toutefois que toute solution de contournement ou d’atténuation pourrait nuire au fonctionnement ou aux performances de leur réseau. Cisco recommande vivement aux clients de migrer vers les routeurs Cisco Small Business RV132W, RV160 ou RV160W.
L’avis de sécurité publié par Cisco a suscité une petite agitation parmi les responsables informatiques, dont certains ont déclaré que pour l’exploiter, l’acteur de la menace doit avoir accès à un réseau interne, ce qui peut être obtenu facilement par un courriel de phishing ou d’autres méthodes.
Jake Williams, directeur technique chez BreachQuest, ajoute qu’une fois à l’intérieur, un acteur de la menace pourrait utiliser cette vulnérabilité pour prendre facilement le contrôle de l’appareil à l’aide d’un exploit. « Les appareils vulnérables sont largement déployés dans les environnements des petites entreprises. Certaines grandes entreprises utilisent également ces appareils pour des bureaux distants. La vulnérabilité réside dans uPnP, qui est destiné à permettre la reconfiguration dynamique des pare-feu pour les services externes qui ont besoin de faire passer le trafic entrant d’internet », indique ce dernier, interrogé par la rédaction de ZDNet.
Circulez y a rien à voir, affirme Cisco
Pour ce dernier, « si uPnP est une fonction extrêmement utile pour les utilisateurs domestiques, elle n’a pas sa place dans les environnements professionnels. Cisco laisse probablement la fonction uPnP activée sur sa gamme de produits pour petites entreprises parce que ces environnements sont moins susceptibles de disposer d’un personnel d’assistance dédié capable de reconfigurer un pare-feu en fonction des besoins d’un produit. Le personnel de ces environnements a besoin que tout fonctionne. Dans le domaine de la sécurité, nous devons nous rappeler que chaque fonctionnalité est également une surface d’attaque supplémentaire qui attend d’être exploitée ».
Et d’ajouter que même sans la vulnérabilité, si uPnP est activé, les acteurs de la menace à l’intérieur de l’environnement peuvent l’utiliser pour ouvrir des ports sur le pare-feu, permettant l’entrée de trafic dangereux en provenance d’internet. « Comme les appareils vulnérables sont presque exclusivement utilisés dans des environnements de petites entreprises, avec peu de personnel de support technique dédié, ils ne sont presque jamais mis à jour », note-t-il.
De son côté, le PDG de Vulcan Cyber, Yaniv Bar-Dayan, explique que UPnP est un service très mal vu, utilisé dans la majorité des appareils connectés à internet, estimant que plus de 75 % des routeurs ont UPnP activé. Bien que l’équipe de réponse aux incidents de sécurité des produits de Cisco assure ne pas être au courant d’une utilisation malveillante de cette vulnérabilité jusqu’à présent, Yaniv Bar-Dayan relève que UPnP a déjà été utilisé par des pirates pour prendre le contrôle de tout, des caméras IP à l’infrastructure des réseaux d’entreprise.
Un utilitaire largement utilisé
D’autres experts, comme le consultant principal en sécurité des applications de nVisium, Zach Varnell, rappelle qu’il est extrêmement courant que les appareils ne reçoivent que rarement – voire jamais – de mises à jour. « Les utilisateurs ont tendance à vouloir ne rien faire et à ne pas toucher à un appareil qui fonctionne bien, y compris lorsqu’il a besoin de mises à jour importantes. Souvent, les utilisateurs profitent également de la fonctionnalité « plug-and-play » et ne modifient que très peu ou pas du tout la configuration, laissant l’appareil dans son état par défaut et, en fin de compte, vulnérable », explique ce dernier.
Dirk Schrader, vice-président mondial de New Net Technologies chargé de la recherche en matière de sécurité, ajoute que si UPnP est l’un des utilitaires les moins connus du consommateur moyen, il est largement utilisé dans les appareils de réseau SOHO tels que les routeurs DSL ou câble, les appareils WLAN et même les imprimantes.
« UPnP est présent dans presque tous les appareils de réseau domestique et est utilisé par les appareils pour trouver d’autres appareils en réseau. Il a déjà été ciblé auparavant, et l’un des grands réseaux de botnets, Mirai, s’appuyait fortement sur UPnP. Etant donné que les appareils Cisco cités sont placés dans le segment des petites et moyennes entreprises, les propriétaires ne sont probablement pas au courant de UPnP et de ce qu’il fait », rappelle ce dernier.
« Cela et le fait qu’aucune solution de contournement ou correctif ne sont encore disponibles constituent une combinaison assez dangereuse, car la base installée n’est certainement pas petite. On peut espérer que, par défaut, UPnP n’est pas activé sur les interfaces WAN de l’appareil Cisco concerné, mais seulement sur le côté LAN. Comme les consommateurs ne sont pas susceptibles de le changer, pour que cette vulnérabilité soit exploitée, les attaquants semblent avoir besoin d’une empreinte différente, déjà établie, au sein du réseau local. Mais les attaquants vérifieront cette vulnérabilité et verront ce qu’il est possible d’en faire. »
Source : ZDNet.com