Los hackers usan un nuevo exploit

Nuevo exploit

 

Los investigadores de seguridad han observado exploraciones de Internet en curso y intentos de explotación contra Cisco RV320 y RV325 WAN routers VPN, dos modelos muy populares entre las compañías de servicios de Internet y empresas grandes.
David Davidson publico este viernes 25 de enero, un exploit de prueba de concepto para dos vulnerabilidades de Cisco RV320 y RV325.
Las vulnerabilidades son:
CVE-2019-1653-permite a un atacante remoto obtener detalles de configuración de dispositivos confidenciales sin contraseña.
CVE-2019-1652-permite a un atacante remoto inyectar y ejecutar comandos de administrador en el dispositivo sin una contraseña.
Ambas vulnerabilidades fueron descubiertas y divulgados privado a Cisco por la firma de seguridad RedTeam pentesting [1, 2, 3] de Alemania. Este miércoles, 23 de enero Cisco lanzó parches para ambos problemas.
El consenso actual es que los atacantes están utilizando el código de prueba de concepto de Davidson para recuperar los detalles de configuración utilizando CVE-2019-1652 y, a continuación, utilizando CVE-2019-1653 para ejecutar comandos adicionales, tomando el control total sobre los dispositivos vulnerables.
“Actualizar a la versión de firmware 1.4.2.20 y cambiar sus contraseñas de dispositivo inmediatamente, ” dijo el investigador de seguridad Troy Mursch, de Bad paquetes LLC, que primero vio los escaneos el viernes.
Es probable que estos routers serán dirigidos por los malhechores para el abuso y lo que el minado de criptomonedas, pero hasta qué punto todavía se desconoce. CVE-2019-1652 permite una mayor explotación una vez que se obtienen las credenciales.
Mursch también utilizó BinaryEdge, un motor de búsqueda para dispositivos conectados a Internet, para rastrear todos los routers Cisco RV320 y RV325 que son vulnerables a estos ataques.
Después de una noche de investigación, el investigador rastreó 9.657 dispositivos de los cuales 6.247 son routers Cisco RV320, y el resto, 3.410, son routers Cisco RV325. Se construyo un mapa interactivo con los datos que obtuvo, mostrando la ubicación de
todos los hosts infectados en internet.
La gran mayoría de estos dispositivos se encuentran en las redes de los prestadores de servicios de internet de los Estados Unidos.
Debido a la naturaleza sensible de estas vulnerabilidades, las direcciones IP de los routers Cisco RV320/RV325 afectados no se publicarán públicamente. Sin embargo, la lista está disponible libremente para que los equipos autorizados de CERT revisen.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *