Recentemente Cisco ha rilasciato gli aggiornamenti di sicurezza per risolvere alcune falle di sicurezza in diversi prodotti, inclusi i router della linea Small Business RV320 / RV325 attualmente presi di mira dagli hacker
Cisco ha rilasciato aggiornamenti di sicurezza per risolvere due falle presenti nei router della famiglia Cisco Small Business RV320 e RV325. La prima vulnerabilità potrebbe essere sfruttata in remoto da un utente malintenzionato e non in possesso di privilegi di amministratore per ottenere informazioni sensibili (CVE-2019-1653), mentre la seconda falla può essere sfruttata per iniettare comandi all’interno del dispositivo e farli eseguire (CVE-2019-1652).
La notizia è che gli hacker stanno prendendo di mira i router Cisco RV320 / RV325 utilizzando nuovi exploit, ovvero codici in grado di sfruttare le falle di recente risolte da Cisco.
Dopo la divulgazione del codice exploit per le vulnerabilità è stata osserva campagna di hacking volta ai router Cisco RV320 e RV325, gli hacker stanno conducendo una scansione massiva di Internet alla ricerca di dispositivi vulnerabili nel tentativo di comprometterli.
Cisco però ha rilasciato aggiornamenti per entrambi i modelli RV320 e RV325 che risolvono quindi la vulnerabilità di command injection (CVE-2019-1652) e quella di information disclosure (CVE-2019-1653), entrambi presenti nell’interfaccia web per la gestione dei router.
Sfruttando in maniera congiunta le due falle è possibile compromettere i router Cisco, in particolare gli hacker stanno sfruttando gli exploit per riuscire ad eseguire comandi con permessi di root sul dispositivo.
Entrambe le vulnerabilità sono state scoperte dagli esperti della società RedTeam Pentesting, gli stessi hanno poi pubblicato i codici exploit per sfruttare le falle dopo che Cisco ha rilasciato gli aggiornamenti.
I ricercatori hanno rilasciato gli exploit per entrambe le vulnerabilità ai seguenti indirizzi:
- Command Injection – https://www.redteam-pentesting.de/en/advisories/rt-sa-2018-004/-cisco-rv320-command-injection
- Information Disclosure – https://www.redteam-pentesting.de/en/advisories/rt-sa-2018-002/-cisco-rv320-unauthenticated-configuration-export
Altri exploit sono stati pubblicati dall’esperto di sicurezza David Davidson, che li ha testati entrambi con successo sui router Cisco RV320.
Ma quanti sono i dispositivi di questi modelli esposti online?
Cercando sul motore di ricerca Shodan i router Cisco RV320 e RV325 vulnerabili è possibile trovare online migliaia di dispositivi.
Il noto esperto di sicurezza Troy Mursch, direttore della ricerca presso Bad Packets, ha utilizzando il motore di ricerca BinaryEdge individuando ben 9.657 dispositivi esposti online (6.247 router Cisco RV320 e 3.410 router Cisco RV325).
⚠️ WARNING ⚠️
Incoming scans detected from multiple hosts checking for vulnerable Cisco RV320/RV325 routers.A vulnerability in the web-based management interface of these routers could allow an unauthenticated, remote attacker to retrieve sensitive configuration information. pic.twitter.com/OhQD55WNZD
— Bad Packets (@bad_packets) January 25, 2019
Mursch ha creato una mappa interattiva che mostra la distribuzione geografica dei router vulnerabili, la maggior parte dei quali si trova negli Stati Uniti.
“A causa della natura sensibile di queste vulnerabilità, gli indirizzi IP dei router Cisco RV320 / RV325 interessati non saranno pubblicati pubblicamente”. Recita un post pubblicato da Mursch su Badpackets.
“Tuttavia, l’elenco è disponibile gratuitamente per la revisione da parte dei CERT autorizzati. Abbiamo condiviso le nostre conclusioni direttamente con Cisco PSIRT e US-CERT per ulteriori indagini e rimedi”
Concludendo, è fondamentale installare gli aggiornamenti rilasciati da Cisco per evitare che i router vulnerabili siano compromessi in campagne come quelle in corso in questi giorni.
