Хакеры начали атаки на маршрутизаторы Cisco RV110, RV130 и RV215

Атаки начались через два дня после того, как Cisco выпустила патч, через день после того, как исследователи опубликовали демонстрационный код эксплойта.

Через два дня после того, как Cisco исправила серьезную уязвимость в популярной марке SOHO-маршрутизаторов, и через день после публикации проверочного кода, хакеры начали сканирование и атаки, используя указанную ошибку безопасности для захвата непатчированных устройств.

Больше новостей о безопасности

Уязвимость, обозначаемая как CVE-2019-1663, была заметна, когда она вышла 27 февраля, поскольку получила оценку серьезности от команды Cisco 9,8 из максимум 10.

Он получил такой высокий рейтинг, потому что ошибка тривиальна в использовании и не требует передовых навыков кодирования и сложных процедур атаки; он полностью обходит процедуры аутентификации; и маршрутизаторы могут быть атакованы удаленно, через Интернет, без необходимости физического присутствия злоумышленников в той же локальной сети, что и уязвимое устройство.

Затронутые модели включают Cisco RV110, RV130 и RV215, все из которых являются маршрутизаторами WiFi, развернутыми в малых предприятиях и жилых домах.

Это означает, что владельцы этих устройств вряд ли будут следить за предупреждениями безопасности Cisco, и большинство этих маршрутизаторов останутся не исправленными. в отличие от крупных корпоративных сред, где ИТ-персонал уже развернул исправления Cisco.

Согласно результатам сканирования, проведенного фирмой по кибербезопасности Rapid7, в Интернете доступно более 12 000 таких устройств, подавляющее большинство которых находится в США, Канаде, Индии, Аргентине, Польше и Румынии.

Все эти устройства в настоящее время находятся под атакой, по данным фирмы по кибербезопасности Bad Packets, которая сообщила об обнаружении сканирований 1 марта.

Наблюдая за ростом сканирования, проверяющего «login.cgi», вероятно, ищите уязвимые маршрутизаторы Cisco RV110W, RV130W и RV215W.

@PenTestPartners: https://t.co/ndqhxGMgI9 pic.twitter.com/J3KG3xSz5w недавно опубликовал доказательство концепции CVE-2019-1663, которая позволяет использовать RCE.

— Отчет о плохих пакетах (@bad_packets) 1 марта 2019 г.

Компания обнаружила, что хакеры сканируют эти типы маршрутизаторов с помощью эксплойта, который был опубликован днем ​​ранее в блоге Pen Test Partners, британской фирмы по кибербезопасности.

Именно один из исследователей Pen Test Partners вместе с двумя другими китайскими экспертами по безопасности обнаружили эту особую уязвимость в прошлом году.

В своем блоге Pen Test Partners обвинили основную причину CVE-2019-1663 в кодерах Cisco, использующих небезопасную небезопасную функцию языка программирования C. а именно, strcpy (копирование строки).

В блоге компании содержалось объяснение того, как использование этой функции программирования на С оставило механизм аутентификации маршрутизаторов Cisco RV110, RV130 и RV215 открытым для переполнения буфера, что позволило злоумышленникам заполнить поле пароля и присоединить вредоносные команды, выполненные с правами администратора. права во время процедуры аутентификации.

Злоумышленники, прочитавшие сообщение в блоге, по-видимому, используют пример, приведенный в статье «Партнеры по тестированию пера», для захвата уязвимых устройств.

Любой владелец этих устройств должен будет установить обновления как можно скорее. Если они считают, что их маршрутизатор уже скомпрометирован, рекомендуется обновить прошивку устройства.