Por Mohit Kumar
Publicado no The Hacker News
Se a segurança da sua corporação depender dos roteadores VPN Cisco W330 ou RV325 Dual Gigabit WAN, será necessário fazer uma atualização imediatamente do firmware, lançada pelo próprio fornecedor (Cisco) na semana passada. Os atacantes cibernéticos têm explorado ativamente duas vulnerabilidades no roteador de alta severidade recém-corrigidas em estado selvagem, depois que um pesquisador de segurança lançou seu código de exploração mostrando a prova de conceito na Internet no último final de semana.
Essas vulnerabilidades em questão são todas uma falha de injeção de códigos. Conhecida como (CVE-2019-1652), trata-se de uma falha de divulgação de informações, e junto com a (CVE-2019-1653) essa combinação, pode permitir que um invasor remoto assuma o controle total de um roteador Cisco afetado.
Roteadores do modelo gigabits RV320 e RV325 aparentam um problema na VPN – WAN que executam as versões de firmware 1.4.2.15 a 1.4.2.19, e o segundo afeta as versões de firmware 1.4.1.15 e 1.4.2.17, de acordo com o comunicado da Cisco.
Ambas as vulnerabilidades, descobertas e relatadas pela empresa de segurança alemã Red Team Pentesting, na verdade, residem na interface de gerenciamento baseada na web e usada pelos roteadores que são exploradas remotamente.
- CVE-2019-1652 – A falha permite que um invasor remoto autenticado, com privilégios administrativos em um dispositivo afetado, execute comandos arbitrários no sistema.
- CVE-2019-1653 – Esta falha não requer autenticação para acessar o portal de gerenciamento baseado na Web do roteador, permitindo que os invasores recuperem informações confidenciais, incluindo o arquivo de configuração do roteador contendo credenciais MD5 com hash e informações de diagnóstico.
O código de exploração PoC, que alveja os roteadores Cisco RV320/RV325 publicados na Internet, primeiro explora o CVE-2019-1653, para recuperar o arquivo de configuração do roteador para obter suas credenciais com hash, e depois, o CVE-2019-1652, para executar comandos arbitrários e obter controle total do dispositivo afetado.
Pesquisadores da empresa de segurança cibernética Bad Packets disseram ter encontrado pelo menos 9.657 roteadores Cisco (6.247 RV320 e 3.410 RV325) em todo o mundo que são vulneráveis, a maioria localizada nos Estados Unidos. A empresa compartilhou um mapa interativo, mostrando todos os roteadores Cisco vulneráveis RV320/RV325 em 122 países e na rede de 1.619 provedores únicos de serviços de Internet.
A Bad Packets comunicou que seus honeypots detectaram atividade de varredura oportunista para roteadores vulneráveis de vários hosts no sábado, sugerindo que os hackers estão tentando ativamente explorar as falhas para assumir o controle total dos roteadores vulneráveis.
A melhor maneira de proteger-se de se tornar o alvo de um desses ataques é instalar o mais recente release de firmware do Cisco RV320 e RV325 o mais rápido possível. Os administradores que ainda não aplicaram a atualização de firmware são altamente recomendados para alterar as credenciais de administrador e Wi-Fi do roteador, considerando-se já comprometidos.
