Billede: Cisco // Sammensætning: ZDNet
To dage efter Cisco lappet en alvorlig sårbarhed i et populært mærke af SOHO routere, og en dag efter offentliggørelsen af proof-of-concept kode, har hackere startede scanninger og angreb, der udnytter de sagde sikkerhed fejl til at tage over unpatched enheder.
Den sårbarhed, der spores som CVE-2019-1663, blev opmærksom, når det kom ud i februar 27, fordi det har modtaget en severity score fra Cisco team of 9.8 ud af et maksimum på 10.
Den fik sådan en høj rating, fordi fejlen er trivielt at udnytte og ikke kræver avanceret kodning færdigheder og kompliceret angreb rutiner; det forbigår godkendelsesprocedurer helt; og routere, der kan blive angrebet på afstand, over internettet, uden angribere at behøve at være fysisk til stede på det samme lokale netværk som sårbare enhed.
Berørte modeller omfatter Cisco RV110, RV130, og RV215, som alle er WiFi-routere, der er indsat i de små virksomheder og boliger.
Dette betyder, at ejere af disse enheder vil ikke sandsynligt være at holde øje med Cisco sikkerhedsadvarsler, og de fleste af disse routere forbliver uændrede –i modsætning til store corporate miljøer, hvor DET personale, der ville allerede har installeret Cisco rettelser.
Ifølge en scanning af cyber-sikkerhed firmaet Rapid7, der er over 12.000 af disse enheder er let tilgængelige online med det store flertal befinder dig i USA, Canada, Indien, Argentina, Polen og Rumænien.
Alle disse enheder er nu under angreb, i henhold til cyber-sikkerhed firma Dårlig Pakker, som rapporterede, at påvisning af scanninger på Marts 1.
Se en uptick i scanninger kontrollerer for “login.cgi” – sandsynligvis på udkig efter sårbare Cisco RV110W, RV130W, og RV215W routere.
Et proof of concept for CVE-2019-1663, som giver mulighed for RCE, der for nylig blev offentliggjort af @PenTestPartners: https://t.co/ndqhxGMgI9 pic.twitter.com/J3KG3xSz5w
— Dårlig Pakker Rapport (@bad_packets) 1 Marts 2019
Virksomheden opdaget hackere scanning for disse typer af routere, der ved hjælp af en udnyttelse, der blev offentliggjort en dag tidligere på bloggen af Pen Test Partnere, et UK-baseret it-sikkerhed firma.
Det var en af de Pen Test Partnere’ forskere, sammen med to andre Kinesiske sikkerhedspolitiske eksperter, der har fundet netop denne sårbarhed sidste år.
I sin blog-indlæg, Pen-Test Partnere skylden for den grundlæggende årsag til, CVE-2019-1663 på Cisco kodere hjælp af et infamt usikker funktion af C programming language -nemlig strcpy (string kopi).
Virksomhedens blog-indlæg, der indeholdt en forklaring på hvordan man bruger denne C programmering funktion forlod mekanisme til ægthedsbekræftelse af Cisco RV110, RV130, og RV215 routere, der er åben for en buffer-overflow, der gjorde det muligt for angribere at oversvømme password-feltet og lægger ondsindede kommandoer, der fik udført med admin rettigheder under godkendelse procedurer.
Angribere, der læser blog-indlæg synes at være ved hjælp af eksemplet i Pen-Test Partnere artikel til at tage over sårbare enheder.
Enhver ejer af disse enheder vil være nødvendigt at anvende opdateringerne så hurtigt som muligt. Hvis de mener, at deres router er allerede blevet kompromitteret, reflashing enhedens firmware anbefales.
Relaterede cybersecurity dækning af nyheder:
Microsoft ruller ud af Google ‘ s Retpoline Spectre modvirkning af Windows 10 usersIntel åbne kilder HBFA app til at hjælpe med firmware sikkerhed testingNew udnytte lader angribere tage kontrol over Windows IoT-Core-enheder
Tordenskrald fejl har indflydelse på, hvordan Windows, Mac, Linux håndtere Thunderbolt peripheralsIntel SGX Kortet udvider SGX sikkerhed beskyttelse til cloud data centersAdobe udgivelser out-of-band update til patch ColdFusion nul-dag
Hvordan tingenes internet bliver brugt til Australsk landbrug i 2019 TechRepublicXiaomi el-scooter efter sigende sårbare over for kapring af hack CNET
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre