Los hackers usan un nuevo exploit para routers Cisco RV320/RV325

Los investigadores
de seguridad han observado exploraciones de Internet en curso y
intentos de explotación contra Cisco RV320 y RV325 WAN routers VPN,
dos modelos muy populares entre las compañias de servicios de
Internet y empresas grandes.
David Davidson
publico este viernes 25 de enero, un exploit de prueba de concepto
para dos vulnerabilidades de Cisco RV320 y RV325.
Las vulnerabilidades
son:

CVE-2019-1653-permite a un atacante remoto obtener detalles de
configuración de dispositivos confidenciales sin contraseña.

CVE-2019-1652-permite a un atacante remoto inyectar y ejecutar
comandos de administrador en el dispositivo sin una contraseña.
Ambas
vulnerabilidades fueron descubiertas y divulgados privado a Cisco por
la firma de seguridad RedTeam pentesting [1, 2, 3] de
Alemania. Este miércoles, 23 de enero Cisco lanzó parches para
ambos problemas.
El consenso actual
es que los atacantes están utilizando el código de prueba de
concepto de Davidson para recuperar los detalles de configuración
utilizando CVE-2019-1652 y, a continuación, utilizando
CVE-2019-1653 para ejecutar comandos adicionales, tomando el
control total sobre los dispositivos vulnerables.
“Actualizar a
la versión de firmware 1.4.2.20 y cambiar sus contraseñas de
dispositivo inmediatamente, ” dijo el investigador de seguridad
Troy Mursch, de Bad paquetes LLC, que primero vio los escaneos
el viernes.
Es probable que
estos routers serán dirigidos por los malhechores para el abuso y lo
que el minado de criptomonedas, pero hasta qué punto todavía se
desconoce. CVE-2019-1652 permite una mayor explotación una
vez que se obtienen las credenciales.
Mursch
también utilizó BinaryEdge, un motor de búsqueda para
dispositivos conectados a Internet, para rastrear todos los routers
Cisco RV320 y RV325 que son vulnerables a estos ataques.
Después de una
noche de investigación, el investigador rastreó 9.657 dispositivos
de los cuales 6.247 son routers Cisco RV320, y el resto,
3.410, son routers Cisco RV325.
Se construyo un mapa
interactivo con los datos que obtuvo, mostrando la ubicación de
todos los hosts infectados en internet.
La gran mayoría de
estos dispositivos se encuentran en las redes de los prestadores de
servicios de internet de los Estados Unidos.
Debido a la
naturaleza sensible de estas vulnerabilidades, las direcciones IP de
los routers Cisco RV320/RV325 afectados no se publicarán
públicamente. Sin embargo, la lista está disponible libremente para
que los equipos autorizados de CERT revisen.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *