Chuyên mục
Lỗ Hổng Bảo Mật

(Security365) Khai thác bảo mật mới khiến hơn 9.000 bộ định tuyến Cisco RV320 / RV325 có thể bị hack trên toàn thế giới

(Security365) Khai thác bảo mật mới khiến hơn 9.000 bộ định tuyến Cisco RV320 / RV325 có thể bị hack trên toàn thế giới

https://1.bp.blogspot.com/-XOZnlffGMP8/XE7nbFKrD-I/AAAAAAAAzKw/AdK-1PkPXhYWGCDD3VJTTez6LvgSa1uuACLcBGAs/s728-e100/hacking-cisco-routers.jpgNếu khả năng kết nối và bảo mật của tổ chức của bạn dựa trên bộ định tuyến Cisco RV320 hoặc RV325 Dual Gigabit VPN, thì bạn cần cài đặt ngay bản cập nhật firmware mới nhất do nhà cung cấp phát hành vào tuần trước.
Những kẻ tấn công mạngđã tích cực khai thác hai lỗ hổng bộ định tuyến nghiêm trọng mới được vá sau khi một nhà nghiên cứu bảo mật công bố mã khai thác chứng minh nghiên cứu của họ trên Internet vào cuối tuần trước.
Các lỗ hổng này là lỗ hổng tiêm lệnh (được gán nhãn CVE-2019-1652) và lỗ hổng tiết lộ thông tin (được gán nhãn CVE-2019-1653), và một sự kết hợp có thể cho phép kẻ tấn công từ xa kiểm soát hoàn toàn bộ định tuyến của Cisco bị ảnh hưởng.

Lỗ hổng đầu tiên tồn tại trong các bộ định tuyến VPN gigabit kép RV320 và RV325 chạy các phiên bản phần mềm 1.4.2.15 đến 1.4.2.19 và lỗi thứ hai ảnh hưởng đến các phiên bản phần mềm 1.4.2.15 và 1.4.2.17. Cả hai lỗ hổng, được phát hiện và báo cáo bởi công ty bảo mật RedTeam Pentesting của Đức, thực sự nằm trong giao diện quản lý dựa trên web được sử dụng cho các bộ định tuyến và có thể khai thác từ xa.

  • CVE-2019-1652 : Lỗ hổng này cho phép kẻ tấn công từ xa được xác thực với các đặc quyền quản trị trên thiết bị bị ảnh hưởng để thực thi các lệnh tùy ý trên hệ thống.
  • CVE-2019-1653 : Lỗ hổng này không yêu cầu bất kỳ xác thực nào để truy cập cổng quản lý dựa trên web của bộ định tuyến, cho phép kẻ tấn công lấy thông tin nhạy cảm bao gồm tệp cấu hình của bộ định tuyến chứa thông tin chẩn đoán băm MD5 và thông tin chẩn đoán.
Mã khai thác PoC nhắm vào mục tiêu là các bộ định tuyến Cisco RV320 / RV325 được xuất bản trên Internet trước tiên khai thác CVE-2019-1653 để lấy tệp cấu hình từ bộ định tuyến để lấy thông tin băm và sau đó khai thác CVE-2019-1652 để thực thi các lệnh tùy ý và giành quyền kiểm soát hoàn toàn của thiết bị bị ảnh hưởng.
Các nhà nghiên cứu từ công ty an ninh mạng Bad Packets cho biết họ đã tìm thấy ít nhất 9.657 bộ định tuyến của Cisco (6.247 RV320 và 3.410 RV325) trên toàn thế giới dễ bị tổn thương trước lỗ hổng tiết lộ thông tin, hầu hết ở Hoa Kỳ.
Công ty đã chia sẻ một bản đồ tương tác, hiển thị tất cả các bộ định tuyến Cisco RV320 / RV325 dễ bị tổn thương ở 122 quốc gia và trên mạng của 1.619 nhà cung cấp dịch vụ internet.
Bad Packets cho biết honeypot của họ đã phát hiện hoạt động quét cơ hội đối với các bộ định tuyến dễ bị tấn công từ nhiều máy chủ từ thứ Bảy, cho thấy tin tặc đang tích cực cố gắng khai thác lỗ hổng để kiểm soát hoàn toàn các bộ định tuyến dễ bị tấn công.

Cách tốt nhất để bảo vệ bạn khỏi trở thành mục tiêu của một cuộc tấn công như vậy là cài đặt bản phát hành phần mềm Cisco RV320 và RV325 mới nhất 1.4.2.20 càng sớm càng tốt.
Nguyễn Vinh (AnToanThongTin.Edu.Vn)