Investigadores de seguridad han observado exploraciones continuas de Internet e intentos de explotación contra routers VPN WAN Cisco RV320 y RV325, dos modelos muy populares entre los proveedores de servicios de Internet y las grandes empresas.
Los ataques comenzaron el viernes 25 de enero, luego de que el investigador de seguridad David Davidson publicara una prueba de prueba de concepto para dos vulnerabilidades de Cisco RV320 y RV325.
Las vulnerabilidades son:
- CVE-2019-1653: permite a un atacante remoto obtener detalles confidenciales de la configuración del dispositivo, sin una contraseña.
- CVE-2019-1652: permite que un atacante remoto inyectar y ejecutar comandos de administración en el dispositivo, sin una contraseña.
Ambas vulnerabilidades fueron descubiertas e informadas de manera privada a Cisco por la firma de seguridad alemana RedTeam Pentesting [1, 2, 3]. Cisco lanzó parches para ambas vulnerabilidades el miércoles 23 de enero [1, 2].
El consenso actual es que los atacantes están usando la PoC de Davidson para recuperar los detalles de configuración usando CVE-2019-1652 y luego están usando CVE-2019-1653 para ejecutar comandos adicionales, tomando control total sobre los dispositivos vulnerables. Incluso se pueden encontrar abiertamente en Shodan.
“Recomendaría a los usuarios afectados que actualicen a la versión de firmware 1.4.2.20 y que cambien las contraseñas de sus dispositivos de inmediato”, dijo el investigador de seguridad Troy Mursch, de Bad Packets LLC, quien descubrió los análisis el viernes.
“Es probable que estos routers sean víctimas de abusos, pero hasta qué punto se desconoce. CVE-2019-1652 permite una mayor explotación una vez que se obtienen las credenciales”, dijo Mursch a ZDNet.
Mursch también utilizó BinaryEdge, un motor de búsqueda para dispositivos conectados a Internet, para rastrear todos los routers Cisco RV320 y RV325 que son vulnerables a estos ataques. Después de una noche de investigación, el investigador rastreó 9.657 dispositivos, de los cuales 6.247 son routers Cisco RV320, y el resto, 3.410, son Cisco RV325.
Mursch ha construido un mapa interactivo con los datos que obtuvo, mostrando la ubicación de todos los hosts infectados. La gran mayoría de estos dispositivos se encuentran en las redes de los ISP de EE.UU.
“Debido a la naturaleza sensible de estas vulnerabilidades, las direcciones IP de los routers afectados no se publicarán públicamente. Sin embargo, la lista está disponible gratuitamente para que la revisen los equipos autorizados del CERT. Hemos compartido nuestros hallazgos directamente con Cisco PSIRT y US-CERT para una mayor investigación y remediación”, escribió Mursch en un informe separado publicado hoy.
Como señaló Mursch anteriormente en el artículo, la forma más sencilla de mitigar estos ataques sería actualizar el firmware del routers Cisco RV320 y RV325: PARCHEAR instalando el firmware version 1.4.2.19.
Fuente: ZDNet