Cisco RV320 router
Bild: Cisco // Sammansättning: ZDNet
Säkerhet forskare har observerat pågående internet skannar och utnyttjande försök mot Cisco RV320 och RV325 WAN, VPN routrar, två modeller mycket populära bland internet-tjänsteleverantörer och stora företag.
Attackerna började på fredag, 25 januari, efter säkerhetsforskaren David Davidson publicerat en proof-of-concept utnyttja för två Cisco RV320 och RV325 sårbarheter.
De sårbarheter som finns:
CVE-2019-1653 – gör det möjligt för en angripare utifrån att få känsliga enhetens konfiguration detaljer utan ett lösenord.CVE-2019-1652 – gör det möjligt för en angripare utifrån att injicera och köra admin-kommandon på enheten utan ett lösenord.
Både sårbarheter har upptäckts och privat rapporterat till Cisco av Tyskland bevakningsföretag RedTeam Pentesting [1, 2, 3]. Cisco släppt patchar för både frågor på onsdag, januari 23 [1, 2].
Den rådande uppfattningen är att angriparna använder Davidson ‘ s proof-of-concept kod för att hämta information om konfigurationen med hjälp av CVE-2019-1652 och sedan med hjälp av CVE-2019-1653 för att köra ytterligare kommandon, ta full kontroll över utsatta enheter.
“Jag skulle råda de drabbade användarna att uppgradera till firmware version 1.4.2.20 och ändra enhetens lösenord omedelbart,” sade säkerhet forskare Troy Mursch, Bad Paket LLC, som först såg de söker på fredag.
“Det är troligt att dessa routrar kommer att vara måltavla för brott för övergrepp, men till vilken grad ännu är okända. CVE-2019-1652 gör det möjligt för ytterligare exploatering när referenser erhållits,” Mursch berättade ZDNet.
“Jag är i enighet med den här killen,” Mursch läggas till, pekar ZDNet att en av Davidson tweets.
ja i princip alla datorer är förmodligen körd. med undantag för det faktum att ‘wget’ på dessa rutor är trasiga halva tiden och förmodligen längre än din genomsnittliga skid att korsa sammanställa sina mirai bot för rätt mips64rev2 skit (för nu)
— en person (@info_dox) januari 26, 2019
Mursch också används BinaryEdge, en sökmotor för internet-anslutna enheter, för att spåra alla Cisco RV320 och RV325-routrar som är utsatta för dessa attacker.
Efter en natt av att utreda, forskare spårat 9,657 enheter –som 6,247 är Cisco RV320 routrar, och resten, 3,410, är Cisco RV325 routrar.
Mursch har byggt en interaktiv karta med de uppgifter han fått, som visar var alla infekterade värdar. De allra flesta av dessa enheter ligger på nätverk av OSS Internetleverantörer.
“På grund av den känsliga karaktären av dessa sårbarheter, IP-adresser för de drabbade Cisco RV320/RV325 routrar kommer inte att publiceras offentligt. Listan är dock fritt tillgänglig för auktoriserad CERT lag att granska. Vi har delat våra resultat direkt med Cisco PSIRT och US-CERT för vidare utredning och sanering,” Mursch skrev i en separat rapport som publiceras idag.
Som Mursch påpekade tidigare i artikeln, är det enklaste sättet att minska dessa attacker skulle vara att uppdatera Cisco RV320 och RV325 routerns inbyggda programvara. Få patchin’!
Mer trygghet:
DHS frågor säkerhetsvarning om aktuella DNS-kapning attacksNew ransomware stam är att låsa upp Bitcoin mining riggar i ChinaConcerns upp om WordPress ” nya “White Screen Of Death” skydd featureMalvertising kampanj är inriktad på Apple-användare med skadlig kod gömd i bilder
Chrome API uppdatering kommer att döda en massa andra tillägg, inte bara ad blockersInternet experiment som går fel, tar ner en massa Linux routersBrave webbläsare kan nu visa annonser, och snart kommer du få 70% av de pengar som CNET
Varför cryptojacking kommer att bli ett ännu större problem i och med 2019 TechRepublic
Relaterade Ämnen:
Datacenter
Säkerhet-TV
Hantering Av Data
CXO