Patches para os roteadores da Cisco RV320 / RV325, ainda estão vulneráveis a hackers

Cisco reconheceu ontem que estragou um patch crucial para uma vulnerabilidade em dois modelos de roteador. Os patches iniciais de má qualidade da empresa permitiram que os hackers continuassem os ataques nos últimos dois meses.

As falhas de segurança afetam os roteadores VPN Cisco RV320 e RV325 WAN, dois modelos populares entre provedores de serviços de Internet e grandes empresas.

A Cisco corrigiu duas falhas de segurança que afetaram os roteadores RV320 e RV325 no final de janeiro. Os dois eram:

  • CVE-2019-1652 – permite que um invasor remoto injete e execute comandos do administrador no dispositivo sem uma senha.
  • CVE-2019-1653 – permite que um invasor remoto obtenha detalhes confidenciais de configuração do dispositivo sem uma senha.

As duas vulnerabilidades foram submetidas a ataques ativos depois que vários pesquisadores de segurança lançaram código de prova de conceito demonstrando como os bugs funcionavam e como eles poderiam ser usados ​​para assumir os roteadores.

Cerca de 10.000 desses dispositivos de alta potência foram – e ainda são – acessíveis on-line e vulneráveis ​​a ataques.

Inicialmente, acreditava-se que os patches da Cisco seriam suficientes para proteger esses dispositivos vulneráveis. No entanto, ontem, a empresa de segurança que inicialmente descobriu esses bugs revelou que os patches da Cisco estavam terrivelmente incompletos [ 1 , 2 , 3 ].

O problema era que o patch da Cisco simplesmente enlouquecia a onda, uma ferramenta popular de linha de comando para transferir dados on-line, que também é integrada a muitos scanners de internet.

O raciocínio catastrófico da Cisco era que, ao incluir o curl na lista negra, eles impediriam que os invasores descobrissem roteadores vulneráveis ​​e usassem os exploits públicos para assumir os dispositivos.

Os engenheiros da empresa tomaram essa decisão, em vez de consertar o código vulnerável no firmware real, que teria sido a maneira correta de lidar com esse problema.

De acordo com a ZDnet, Troy Mursch, o co-fundador da Bad Packets LLC, e aquele que identificou as varreduras iniciais do RV320 / RV325 em janeiro, disse que os hackers nunca pararam de procurar por dispositivos vulneráveis.

Além disso, muitos proprietários do Cisco RV320 / RV325 também não se deram ao trabalho de aplicar os patches (com defeito) da Cisco, em primeiro lugar, o que significa que a maioria dos dispositivos ainda está vulnerável ao código de exploração original publicado em janeiro.

Mas, mesmo que os proprietários de dispositivos tenham aplicado o patch de janeiro, tudo que um invasor precisa fazer agora é mudar para uma ferramenta de exploração / varredura sem ondulação.

A Cisco não liberou novos patches até o momento, mas apenas reconheceu seu snafu. A empresa também não forneceu um cronograma para a chegada de um patch adequado.

A empresa também lançou outros 23 patches de segurança , sendo a maioria correções para o sistema operacional IOS XE da empresa. Nenhum foi classificado com uma classificação de gravidade “crítica” e nenhum foi explorado na natureza.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.