我們建議使用思科路由器的用戶立即下載針對(duì)兩個(gè)利用漏洞的補(bǔ)丁,這兩個(gè)漏洞都位于路由器的基于Web的管理界面中。
思科路由器被攻擊(圖片來源:Exit Technologies)
第一個(gè)漏洞名稱為CVE-2019-1652,是由用戶提供的輸入的不正確驗(yàn)證引起的命令注入錯(cuò)誤。該漏洞影響運(yùn)行固件版本1.4.2.15到1.4.2.19的路由器,漏洞允許具有管理員權(quán)限的遠(yuǎn)程攻擊者以root身份在底層Linux shell上執(zhí)行任意命令。
第二個(gè)漏洞名稱為CVE-2019-1653,該漏洞出現(xiàn)在固件版本1.4.2.15和1.4.2.17的路由器上。該漏洞允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者從基于Web的界面檢索敏感信息(包括路由器配置和診斷信息)。
這些漏洞是由德國(guó)RedTeam Pentesting GmbH的研究人員發(fā)現(xiàn)的。在最初檢索和轉(zhuǎn)儲(chǔ)其配置后,這些漏洞可以相互協(xié)作使用,以在受影響的路由器上獲得遠(yuǎn)程代碼執(zhí)行。
Bad Packets報(bào)告的首席研究官Troy Mursch警告說,“在2019年1月25日星期五,我們檢測(cè)到針對(duì)思科RV320和RV325路由器的多個(gè)攻擊活動(dòng)。 ”。
“ 這些掃描包括對(duì)/cgi-in/config.exp的GET請(qǐng)求,這是允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程用戶獲取設(shè)備配置設(shè)置的整個(gè)轉(zhuǎn)儲(chǔ)的路徑,”Mursch在他的博客文章中繼續(xù)說道。“這包括管理員憑據(jù),但密碼是經(jīng)過哈希處理的。”
在掃描了15,309個(gè)唯一的IPv4主機(jī)后,Bad Packets報(bào)告發(fā)現(xiàn)9,657個(gè)易受CVE-2019-1653漏洞的影響。總共又122個(gè)不同的國(guó)家受到影響,但大多數(shù)被攻擊設(shè)備都位于美國(guó)。
