Khai thác mới đe dọa hơn 9.000 bộ định tuyến Cisco RV320, RV325

Khai thác mới đe dọa hơn 9.000 bộ định tuyến Cisco RV320/RV325

January 29, 2019 | vietsunshine

Nếu khả năng kết nối và bảo mật của tổ chức của bạn dựa trên bộ định tuyến Cisco RV320 hoặc RV325 Dual Gigabit WAN VPN, thì bạn cần cài đặt ngay bản cập nhật firmware mới nhất do nhà cung cấp phát hành vào tuần trước.

Những kẻ tấn công mạng đã tích cực khai thác hai lỗ hổng bộ định tuyến nghiêm trọng mới được vá sau khi một nhà nghiên cứu bảo mật công bố mã khai thác bằng chứng khái niệm của họ trên Internet vào cuối tuần trước.

Hai lỗ hổng command injection (CVE-2019-1652) và (CVE-2019-1653), một sự kết hợp có thể cho phép kẻ tấn công từ xa kiểm soát hoàn toàn bộ định tuyến của Cisco bị ảnh hưởng.

Vấn đề đầu tiên tồn tại ở các bộ định tuyến kép gigabit WAN VPN chạy firmware RV320 và RV325 chạy các phiên bản phần mềm 1.4.2.15 đến 1.4.2.19, vấn đề thứ hai ảnh hưởng đến các phiên bản phần mềm 1.4.2.15 và 1.4.2.17, theo lời khuyên của Cisco.

Cả hai lỗ hổng, được công ty bảo mật RedTeam Pentesting phát hiện và báo cáo cho Cisco, thực sự nằm trong giao diện quản lý dựa trên web được sử dụng cho các bộ định tuyến và có thể khai thác từ xa.

  • CVE-2019-1652: Lỗ hổng cho phép kẻ tấn công từ xa được xác thực với các đặc quyền quản trị trên thiết bị bị ảnh hưởng để thực thi các lệnh tùy ý trên hệ thống.
  • CVE-2019-1653: Lỗ hổng này không yêu cầu bất kỳ xác thực nào để truy cập cổng quản lý dựa trên web của bộ định tuyến, cho phép kẻ tấn công lấy thông tin nhạy cảm bao gồm tệp cấu hình của bộ định tuyến chứa thông tin MD5 hashed credentials và thông tin chuẩn đoán.

Mã khai thác PoC nhắm mục tiêu các bộ định tuyến Cisco RV320/RV325 được xuất bản trên Internet trước tiên khai thác CVE-2019-1653 để lấy tệp cấu hình từ bộ định tuyến để lấy thông tin băm và sau đó khai thác CVE-2019-1652 để thực thi các lệnh tùy ý và giành quyền kiểm soát hoàn toàn của thiết bị bị ảnh hưởng.

Các nhà nghiên cứu từ công ty an ninh mạng Bad Packets cho biết họ đã tìm thấy ít nhất 9.657 bộ định tuyến của Cisco (6.247 RV320 và 3.410 RV325) trên toàn thế giới dễ bị tổn thương trước lỗ hổng tiết lộ thông tin.

Công ty đã chia sẻ một bản đồ tương tác, hiển thị tất cả các bộ định tuyến Cisco RV320/RV325 dễ bị tổn thương ở 122 quốc gia và trên mạng của 1.619 nhà cung cấp dịch vụ internet. Bad Packets cho biết họ thấy tin tặc đang cố gắng khai thác lỗ hổng để kiểm soát hoàn toàn các bộ định tuyến dễ bị tấn công.

Cách tốt nhất để bảo vệ bạn khỏi trở thành mục tiêu của một cuộc tấn công như vậy là cài đặt bản phát hành phần mềm Cisco RV320 và RV325 mới nhất 1.4.2.20 càng sớm càng tốt.

Các quản trị viên chưa áp dụng bản cập nhật firmware được khuyến nghị thay đổi thông tin quản trị viên và bộ định tuyến WiFi của bộ định tuyến vì họ đã bị xâm phạm.

Xem thêm:

Lỗ hổng trên ASA, Firepower của Cisco đang bị khai thác và vẫn chưa có bản vá

Lỗ hổng nghiêm trọng khiến hàng ngàn switch Cisco có thể bị hacker tấn công

Lỗ hổng nghiêm trọng Command Injection trong Cisco WebEx

Tags: , ,