Hoạt động quét độc hại nhắm vào các bộ định tuyến VPN Gigabit Gigabit RV RV và RV325 dành cho doanh nghiệp nhỏ đang được tiến hành, với một loạt các đầu dò cơ hội đang tìm kiếm các thiết bị dễ bị tấn công kể từ thứ Sáu.
Theo dữ liệu honeypot của Bad Packets Report, những kẻ tấn công mạng đang nhắm vào một cặp lỗ hổng vừa được vá cho phép tiết lộ thông tin không được xác thực từ xa ( CVE-2019-1653 ) dẫn đến thực thi mã từ xa (CVE-2019-1652) trên các bộ định tuyến. Có hơn 9.000 bộ định tuyến mở cho cuộc tấn công, công ty tìm thấy.
Lỗ hổng đầu tiên tồn tại trong giao diện quản lý dựa trên web cho RV320 / RV325; một yêu cầu GET đơn giản cho /cgi-bin/config.bao trả về đầy đủ chi tiết về cài đặt cấu hình của thiết bị, bao gồm thông tin đăng nhập của quản trị viên (mặc dù mật khẩu được mã hóa).
Nhà nghiên cứu đã giải thích về vấn đề này có thể cho phép một kẻ tấn công từ xa, không được xác thực lấy thông tin cấu hình nhạy cảm, nhà nghiên cứu đã giải thích, ông Troy Mursch, trong một lời khuyên được công bố vào cuối tuần qua. Tất cả các chi tiết cấu hình của bộ định tuyến RV320 / RV325 đều bị lộ bởi lỗ hổng này.
Các gói dữ liệu xấu Báo cáo các nỗ lực quét riêng của mình khi sử dụng BinaryEdge , đã thu thập được 15.309 máy chủ IPv4 duy nhất, xác định rằng 9,657 bộ định tuyến Cisco RV320 / RV325 dễ bị tổn thương đối với CVE-2019-1653: Bị hỏng, nó hoạt động với 6.247 bộ định tuyến Cisco RV320; và 3,410 dễ bị tổn thương trong số 5.457 bộ định tuyến Cisco RV325 được quét.
Chúng hầu hết được đặt tại Hoa Kỳ, Mursch cho biết, mặc dù về tổng thể, các thiết bị dễ bị tổn thương đã được tìm thấy ở 122 quốc gia và trên mạng của 1.619 ISP khác nhau – tạo nên một bề mặt tấn công toàn cầu quan trọng.
Khi một malefactor đã đạt được thông tin quản trị viên, anh ta hoặc cô ta có thể khai thác thêm bộ định tuyến sau khi đăng nhập. Lỗ hổng CVE-2019-1652 cho phép kẻ tấn công từ xa được xác thực với các đặc quyền quản trị trên thiết bị bị ảnh hưởng để thực thi các lệnh tùy ý. Lỗ hổng là do xác nhận không đúng của đầu vào do người dùng cung cấp.
Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi các yêu cầu HTTP POST độc hại đến giao diện quản lý dựa trên web của một thiết bị bị ảnh hưởng, theo tài liệu của Cisco . Khai thác thành công có thể cho phép kẻ tấn công thực thi các lệnh tùy ý trên lớp vỏ Linux bên dưới như root.
Một bằng chứng về khái niệm thực thi mã từ xa đã được chi tiết bởi nhà nghiên cứu David Davidson, nhưng Mursch lưu ý rằng có những tình tiết giảm nhẹ.
Liên quan đến cách thức các bộ định tuyến sẽ bị khai thác một khi bị xâm phạm, nó vẫn chưa được biết đến đầy đủ, ông nói với Threatpost. Tại thời điểm này, tôi chỉ có thể xác nhận các tác nhân đe dọa chỉ lấy hàng tồn kho của các thiết bị dễ bị tổn thương bằng cách cạo các tệp cấu hình và thông tin bị rò rỉ. Thiệt hại thực tế có thể bị hạn chế do các khả năng (hoặc thiếu) được ghi nhận bởi David Davidson. Chỉ có thời gian mới trả lời.
Các lỗ hổng ảnh hưởng đến bộ định tuyến Cisco RV320 / RV325 chạy firmware phát hành 1.4.2.15 và 1.4.2.17. Bản vá của Cisco phải được áp dụng ngay lập tức và quản trị viên nên thay đổi thông tin quản trị viên và thông tin WiFi của thiết bị của họ để ngăn chặn mọi thỏa hiệp có thể đã xảy ra.