Защищенные WAN VPN маршрутизаторы Cisco RV320 и RV325, весьма популярные у интернет-провайдеров и компаний, стали мишенью для злоумышленников. Сканирования и атаки начались в минувшую пятницу, 25 января 2019 года, после того как ИБ-специалист Дэвид Дэвидсон (David Davidson) опубликовал на GitHub proof-of-concept эксплоит для серьезных уязвимостей в этих моделях маршрутизаторов.
⚠️ WARNING ⚠️
Incoming scans detected from multiple hosts checking for vulnerable Cisco RV320/RV325 routers.
A vulnerability in the web-based management interface of these routers could allow an unauthenticated, remote attacker to retrieve sensitive configuration information. pic.twitter.com/OhQD55WNZD— Bad Packets Report (@bad_packets) January 25, 2019
Речь идет сразу о двух багах. Так, уязвимость CVE-2019-1653 позволяет удаленному атакующему получить данные о конфигурации устройства (без пароля). Вторая проблема, CVE-2019-1652, в свою очередь, позволит удаленному злоумышленнику внедрять и выполнять произвольные команды на уязвимом девайсе.
Обе уязвимости были обнаружены специалистами компании RedTeam Pentesting (1, 2, 3), и инженеры Cisco исправили эти проблемы 23 января текущего года, выпустив патчи. Теперь эксперты рекомендуют пользователям немедленно обновить свои устройства до прошивки версии 1.4.2.20 и поменять пароли.
По данным известного ИБ-эксперта Троя Мурша (Troy Mursch) из Bad Packets LLC, через поисковик BinaryEdge можно обнаружить 9657 маршрутизаторов, уязвимых для эксплоита Дэвидсона (6247 устройств Cisco RV320 и 3410 девайсов Cisco RV325). Через Shodan находится порядка 20 000 устройств, но не все они уязвимы.
На базе этих данных Мурш запустил интерактивную карту, показывающую местоположение уязвимых устройств. Как можно видеть, большинство из них находятся на территории США. IP-адреса маршрутизаторов не раскрываются по понятным причинам, а специалисты уже предупредили об опасности инженеров Cisco PSIRT и US-CERT.
