Reading Time: 2 minutes

A Cisco lançou atualizações de segurança para corrigir algumas falhas de segurança em vários produtos, incluindo os routers RV320 / RV325, utilizador por pequenas empresas , que já estão a ser explorados in-the-wild pelos hackers.

A gigante tecnológica abordou dois problemas sérios nos routers RV320 e RV325 concebido para pequenas empresas. A primeira falha pode ser explorada por um invasor remoto não autenticado com privilégios de administrador de forma a obter informações sensíveis (CVE-2019-1653), enquanto a segunda pode ser explorada tirando partido de command injection (CVE-2019-1652).

Ao que parece, os hackers estão a tirar partido desta vulnerabilidades e a explorar massivamente os routers Cisco RV320 / RV325 utilizando novos exploits.

Depois da libertação dos PoC das vulnerabilidades, os hackers começaram a varrer a Internet na tentativa de catalogar o número máximo de routers vulneráveis com o objetivo de os comprometerem.

A Cisco anunciou nesta semana atualizações para os modelos RV320 e RV325 que corrigem uma injeção de comandos (command injection) (CVE-2019-1652) e uma vulnerabilidade de information disclosure (CVE-2019-1653); ambas estão presentes na interface de gestão web dos routers.

Encadeando as duas falhas é possível tomar controlo dos routers Cisco RV320 e RV325.

Os hackers têm explorado os bugs para obter passwords com hash para uma conta privilegiada e executar comandos arbitrários como root.

Chaining the two flaws it is possible to take over the Cisco RV320 and RV325 routers, the hackers exploit the bugs to obtain hashed passwords for a privileged account and run arbitrary commands as root.

 

Executando um varrimento no scanner IoT Shodan para routers Cisco RV320 e RV325 vulneráveis, é possível encontrar dezenas de milhares de dispositivos on-line.

O  especialista Troy Mursch, diretor de research da Bad Packets, identificou sistemas vulneráveis utilizando o mecanismo de varrimento BinaryEdge e encontrou 9.657 dispositivos expostos na Internet (6.247 routers Cisco RV320 e 3.410 routers Cisco RV325).

 

 

Mursch criou ainda um mapa interativo que mostra a distribuição geográfica dos routers vulneráveis, a grande maioria deles localizados nos EUA.

Cisco-infections-routers

 

“Due to the sensitive nature of these vulnerabilities, the IP addresses of the affected Cisco RV320/RV325 routers will not be published publicly.” reads a blog post published by Mursch on Badpackets.

“However, the list is freely available for authorized CERT teams to review. We’ve shared our findings directly with Cisco PSIRT and US-CERT for further investigation and remediation,”