Vulnérabilités dans deux produits Cisco
Date de publication :
CVE-2021-40120[Score CVSS v3.1: 7.2]
La section cyber sécurité de l’entreprise Cisco a publié un bulletin au sujet d’une vulnérabilité du type « injection de commande » dans ses produits SB RV Séries Routers. Plus précisément, cette vulnérabilité est située dans l’interface Web de gestion des routeurs qui effectue un contrôle inapproprié des données entrées par l’utilisateur. Un attaquant distant et authentifié pourrait exploiter cette vulnérabilité, en injectant des commandes malveillantes dans l’interface, afin d’exécuter des codes arbitraires avec le plus haut niveau de privilège sur le système d’exploitation du ou des poste(s) connecté(s). Si l’attaquant parvient à réussir cet exploit, il serait ainsi en mesure de compromettre le système du ou des poste(s) de travail. Cette vulnérabilité ne semble pas être exploitée pour le moment.
CVE-2021-40124[Score CVSS v3.1: 7.8]
Identifiée par l’étudiant Jacob Griffith, cette vulnérabilité est du type « exécution de code arbitraire » et concerne le module NAM (Network Acess Manager) du produit AnyConnect Secure Mobility Client de l’entreprise Cisco. Le module NAM permet à l’utilisateur de gérer la configuration de son client VPN. L’étudiant a remarqué que, pendant la phase qui précède l’authentification d’un utilisateur à sa session NAM, l’attribution des autorisations à propos des scripts était gérée de manière incorrecte par le module. De ce fait, un script peut être exécuté avec des privilèges supérieurs avant même qu’un utilisateur se connecte. Un attaquant local et authentifié pourrait exploiter cette vulnérabilité, en activant un script malveillant juste avant qu’un utilisateur se connecte à sa session, pour mener des exécutions de codes arbitraires avec le niveau de privilège d’administrateur. Cette vulnérabilité ne semble pas être exploitée pour le moment.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de commande
- Exécution de code arbitraire
- Elévation de privilège
- Compromission système d’exploitation
- Script malveillant
- Accès non-autorisé
- Contournement de sécurité
Criticité
- Score CVSS v3.1: 7.8 max
CVE
Composants vulnérables.
Concernant la vulnérabilité CVE-2021-40120, les produits suivants sont vulnérables :
- RV016 Multi-WAN VPN Routers
- RV042 Dual WAN VPN Routers
- RV042G Dual Gigabit WAN VPN Routers
- RV082 Dual WAN VPN Routers
- RV320 Dual Gigabit WAN VPN Routers
- RV325 Dual Gigabit WAN VPN Routers
Concernant la vulnérabilité CVE-2021-40124
- Les produits AnyConnect Secure Mobility Client (Windows) de Cisco ayant le module NAM installé et avec la configuration suivante sont vulnérables :
Client Policy > Connection Settings > Before User Logon
Client Policy > End-user Control > Specify a script or application to run when connected
Solutions ou recommandations
Concernant la vulnérabilité CVE-2021-40120
- Il n’existe aucune solution pour contourner ce problème. Cependant, il est possible de réduire le risque en désactivant l’interface Web de gestion si celle-ci n’est pas nécessaire pour l’utilisateur. Par défaut, cette interface Web est désactivée.
- Aucun correctif ne sera réalisé par l’entreprise Cisco car les routeurs concernés par cette vulnérabilité sont en fin de vie. Pour plus d’information sur les migrations des matériels Cisco, une page est disponible ici : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sbrv-cmdinjection-Z5cWFdK
Concernant la vulnérabilité CVE-2021-40124
- Il n’existe aucune solution pour contourner ce problème.
- Il est recommandé d’effectuer la mise à jour 4.10.03104 d’AnyConnect Secure Mobility Client (Windows).