Tin tặc nhằm mục tiêu vào hơn 9.000 bộ định tuyến Cisco
Diễn đàn - Ngày đăng : 11:08, 30/01/2019
Gã khổng lồ công nghệ đã giải quyết hai vấn đề nghiêm trọng trong các bộ định tuyến RV320 và RV325 của Cisco. Cả hai lỗ hổng, được công ty bảo mật RedTeam Pentesting phát hiện và báo cáo cho Cisco, thực sự nằm trong giao diện quản lý dựa trên web được sử dụng cho các bộ định tuyến và có thể khai thác từ xa.
Lỗ hổng đầu tiên là CVE-2019-1652 cho phép kẻ tấn công từ xa được xác thực với các đặc quyền quản trị trên thiết bị bị ảnh hưởng để thực thi các lệnh tùy ý trên hệ thống. Còn lỗ hổng thứ hai CVE-2019-1653 thì không yêu cầu bất kỳ xác thực nào để truy cập cổng quản lý dựa trên web của bộ định tuyến, cho phép kẻ tấn công lấy thông tin nhạy cảm bao gồm tệp cấu hình của bộ định tuyến và thông tin chuẩn đoán.
Mã khai thác PoC (proof-of-concept) trên các bộ định tuyến Cisco RV320/RV325 được công khai trên Internet. CVE-2019-1653 bị lợi dụng để lấy tệp cấu hình từ bộ định tuyến để lấy thông tin băm và sau đó khai thác CVE-2019-1652 để thực thi các lệnh tùy ý và giành quyền kiểm soát hoàn toàn của thiết bị bị ảnh hưởng.
Chuyên gia nổi tiếng Troy Mursch, giám đốc nghiên cứu của công ty Bad Packets, cho biết họ đã tìm thấy ít nhất 9.657 bộ định tuyến của Cisco (6.247 bộ định tuyến RV320 và 3.410 bộ định tuyến RV325) trên toàn thế giới dễ bị ảnh hưởng trước lỗ hổng tiết lộ thông tin, hầu hết ở Hoa Kỳ.
Hãng đã chia sẻ một bản đồ tương tác, hiển thị tất cả các bộ định tuyến Cisco RV320/RV325 có lỗ hổng ở 122 quốc gia và trên hệ thống mạng của 1.619 nhà cung cấp dịch vụ Internet.