Cisco RV320 router
Afbeelding: Cisco // Samenstelling: ZDNet
Security-onderzoekers hebben waargenomen permanente internet-scans en exploitatie pogingen tegen Cisco RV320 en RV325 WAN VPN-routers, twee modellen erg populair is onder de internet service providers en grote ondernemingen.
De aanvallen begonnen op vrijdag, 25 januari, na de security-onderzoeker David Davidson publiceerde een proof-of-concept exploit voor twee Cisco RV320 en RV325 kwetsbaarheden.
De kwetsbaarheden zijn:
CVE-2019-1653 – kan een aanvaller op afstand de mogelijkheid om gevoelige apparaat configuratie-gegevens worden zonder een wachtwoord.CVE-2019-1652 – kan een aanvaller op afstand te injecteren en uitvoeren admin commando ‘ s op het apparaat zonder een wachtwoord.
Beide kwetsbaarheden werden ontdekt en gemelde Cisco door Duitsland beveiligingsbedrijf RedTeam Pentesting [1, 2, 3]. Cisco patches uitgebracht voor beide problemen op woensdag, januari 23 [1, 2].
De huidige consensus is dat de aanvallers met behulp van Davidson ‘ s proof-of-concept code voor het ophalen van informatie over het configureren van het gebruik van CVE-2019-1652 en vervolgens met behulp van CVE-2019-1653 uitvoeren van extra opdrachten, nemen de volledige controle over kwetsbare apparaten.
“Ik zou adviseren van betrokken gebruikers aan om te upgraden naar firmware versie 1.4.2.20 en veranderen hun apparaat wachtwoorden onmiddellijk,” zei security-onderzoeker Troy Mursch, van Slechte Pakketten LLC, die voor het eerst gespot op de scans op vrijdag.
“Het is waarschijnlijk dat deze routers zullen worden belaagd door onverlaten voor misbruik, maar in welke mate is nog onbekend. CVE-2019-1652 kunt voor verdere exploitatie zodra de referenties worden verkregen,” Mursch vertelde ZDNet.
“Ik ben in overleg met deze man,” Mursch toegevoegd, wijst ZDNet één van Davidson ‘ s tweets.
ja, in principe iedereen ongepatchte is waarschijnlijk de lul. behalve voor het feit dat de ‘wget’ op deze vakken is gebroken helft van de tijd en zijn waarschijnlijk boven het gemiddelde pallet cross-compileren hun mirai bot voor de juiste mips64rev2 shit (voor nu)
— sommige persoon (@info_dox) 26 januari 2019
Mursch ook gebruikt BinaryEdge, een zoekmachine voor het internet aangesloten apparaten, voor het opsporen van alle Cisco RV320 en RV325 routers die gevoelig zijn voor deze aanvallen.
Na een nacht van onderzoek, de onderzoeker opgespoord 9,657 apparaten kunnen worden aangesloten-van die 6,247 van Cisco zijn RV320 routers, en de rest, 3,410, Cisco RV325 routers.
Mursch heeft gebouwd een interactieve kaart met de gegevens die hij behaalde, met locatie van alle geïnfecteerde hosts. De overgrote meerderheid van deze apparaten bevinden zich op de netwerken van ONS Isp ‘ s.
“Vanwege de gevoelige aard van deze kwetsbaarheden worden de IP-adressen van de getroffen Cisco RV320/RV325 routers zal niet openbaar gepubliceerd worden. Echter, de lijst is vrij beschikbaar voor geautoriseerde CERT teams om te beoordelen. We delen onze bevindingen direct met Cisco PSIRT en US-CERT voor verder onderzoek en sanering,” Mursch schreef in een afzonderlijk rapport dat vandaag is gepubliceerd.
Als Mursch eerder in het artikel, de eenvoudigste manier om het opvangen van deze aanval zou worden voor het bijwerken van de Cisco RV320 en RV325 router firmware. Voor patchin’!
Meer zekerheid:
DHS problemen beveiligingswaarschuwing over recente DNS-kaping attacksNew ransomware stam is het blokkeren van Bitcoin mining rigs in ChinaConcerns gesteld over WordPress’ nieuwe ‘White Screen of Death’ bescherming featureMalvertising campagne is bedoeld voor Apple-gebruikers met kwaadaardige code verborgen in de beelden
Chrome API update zal doden een hoop andere extensies, niet alleen ad blockersInternet experiment mis gaat, neemt een heleboel Linux routersBrave browser kan nu het weergeven van advertenties, en al snel krijg je 70% van het geld CNET
Waarom cryptojacking zal een nog groter probleem in 2019 TechRepublic
Verwante Onderwerpen:
Datacenters
Beveiliging TV
Data Management
CXO