Hackers estão atacando roteadores Cisco RV320 / RV325 e usando uma nova façanha

Pesquisadores de segurança têm observado varreduras contínuas na Internet e tentativas de exploração contra roteadores VPN Cisco RV320 e RV325 WAN, dois modelos muito populares entre provedores de internet e grandes empresas.

Os ataques começaram na sexta-feira , 25 de janeiro, depois que o pesquisador de segurança David Davidson publicou uma exploração de prova de conceito para duas vulnerabilidades do Cisco RV320 e RV325.

As vulnerabilidades são:

  • CVE-2019-1653 – permite que um invasor remoto obtenha detalhes confidenciais de configuração do dispositivo sem uma senha.
  • CVE-2019-1652 – permite que um invasor remoto injete e execute comandos do administrador no dispositivo sem uma senha.

Ambas as vulnerabilidades foram descobertas e relatadas em particular à Cisco pela empresa de segurança RedTeam Pentesting da Alemanha [ 1 , 2 , 3 ]. A Cisco lançou patches para ambos os problemas na quarta-feira, 23 de janeiro [ 1 , 2 ].

O consenso atual é que os invasores estão usando o código de prova de conceito de Davidson para recuperar detalhes de configuração usando o CVE-2019-1652 e depois usando o CVE-2019-1653 para executar comandos adicionais, controlando totalmente os dispositivos vulneráveis.

“É provável que esses roteadores sejam alvo de maus-tratos por abuso, mas até certo ponto ainda é desconhecido. O CVE-2019-1652 permite uma exploração adicional assim que as credenciais forem obtidas”, disse Mursch ao site ZDNet .

“Estou de acordo com esse cara”, acrescentou Mursch, apontando o ZDNet para um dos tweets de Davidson.

“Eu aconselho os usuários afetados a atualizar para a versão de firmware 1.4.2.20 e alterar suas senhas de dispositivo imediatamente”, disse o pesquisador de segurança Troy Mursch, da Bad Packets LLC, que viu pela primeira vez os scans na sexta-feira.

A Mursch também usou o BinaryEdge, um mecanismo de busca para dispositivos conectados à Internet, para rastrear todos os roteadores Cisco RV320 e RV325 que são vulneráveis ​​a esses ataques.

Após uma noite de investigação, o pesquisador rastreou 9.657 dispositivos – dos quais 6.247 são roteadores Cisco RV320, e o restante, 3.410, são roteadores Cisco RV325.

Mursch construiu um mapa interativo com os dados obtidos, mostrando a localização de todos os hosts infectados. A grande maioria desses dispositivos está localizada nas redes dos ISPs dos EUA.

“Devido à natureza sensível dessas vulnerabilidades, os endereços IP dos roteadores Cisco RV320 / RV325 afetados não serão publicados publicamente. No entanto, a lista está disponível gratuitamente para as equipes autorizadas CERT. Compartilhamos nossas descobertas diretamente com a Cisco PSIRT e US-CERT para mais investigação e remediação “, escreveu Mursch em um relatório separado publicado hoje.

Como Mursch apontou anteriormente no artigo, a maneira mais simples de mitigar esses ataques seria atualizar o firmware do roteador Cisco RV320 e RV325. Obter patchin ‘!