CVE-2021-20090, 8,1 sur l’échelle de la sévérité, affecte des routeurs et permet à un attaquant de contourner les mécanismes d’authentification pour accéder aux informations du périphérique et en modifier la configuration. Certaines Livebox sont concernées.
Tout commence lorsque les chercheurs de Tenable se penchent sur un routeur (WSR-2533) commercialisé par Buffalo, un vendeur d’équipements réseaux. Ils y découvrent une faille, estampillée CVE-2021-20090. Celle-ci est particulièrement sévère, avec un score CVSSv3 de 8,1.
En effet, cette vulnérabilité dite path traversal permet à un attaquant, depuis l’interface web du périphérique en question, de contourner à distance les mécanismes d’authentification, de sorte à pouvoir accéder à des informations sensibles ou encore de modifier la configuration du routeur.
Des dizaines de modèles concernés
Mais, poussant leurs investigations, les chercheurs découvrent que la vulnérabilité est présente au niveau du firmware du routeur, développé par Arcadyan. Par ricochet, le nombre de périphériques concernés explose. Sont ainsi affectés des routeurs mais aussi des boxes Internet chez Asus, O2, Deutsche Telekom, TelMex, Verizon ou encore Vodafone.
La France est elle aussi touchée, puisque certaines LiveBox Fibre d’Orange utilisent elles aussi le micrologiciel d’Arcadyan, et sont ainsi affectées par cette vulnérabilité. Le CERT de l’Institut Carnegie Mellon conseille aux utilisateurs de mettre à jour leurs routeurs et boxes mais aussi de désactiver les services d'administration à distance ainsi que l'interface Web sur le WAN.