思科黑名单会卷曲而不是修复易受攻击的代码
思科昨天承认,它为两个路由器模型中的漏洞捆绑了一个重要补丁。该公司的劣质初始补丁程序使黑客能够在过去两个月中继续进行攻击。
安全漏洞会影响Cisco RV320和RV325 WAN VPN路由器,这两种模型在Internet服务提供商和大型企业中都很流行。
思科于1月底修补了两个影响RV320和RV325路由器的安全漏洞。这两个是:
CVE-2019-1652-允许远程攻击者无需密码即可在设备上注入并运行管理命令。
CVE-2019-1653-允许远程攻击者无需密码即可获取敏感的设备配置详细信息。
在多个安全研究人员发布概念验证代码之后,这两个漏洞受到了积极攻击,这些代码证明了漏洞的工作方式以及如何滥用漏洞来接管路由器。
这些高性能设备中约有10,000个可以(而且仍然可以)在线访问并且容易受到攻击。
最初,人们认为Cisco补丁足以保护这些易受攻击的设备。不过,昨日,最初发现这些漏洞的安全公司透露,思科的补丁已经远远不完整的[ 1,2,3 ]。
需要注意的是,思科RV320 / RV325路由器漏洞是在2018年9月发现的。四个月后,发布了一个仅将curl列入黑名单的补丁程序。然后,思科有权要求推迟@RedTeamPT的最新披露近两个月。pic.twitter.com/o2FqTsTebO
— Bad Packets Report(@bad_packets),2019年3月27日
问题在于,思科的补丁程序仅将curl列入了黑名单,curl是一种用于在线传输数据的流行命令行工具,该工具也已集成到许多Internet扫描仪中。
思科的灾难性思想是,通过将curl列入黑名单,它们可以防止攻击者发现易受攻击的路由器并利用公共漏洞来接管设备。
该公司的工程师做出此决定,而不是在实际固件中修复易受攻击的代码,这本来是解决此问题的正确方法。
思科针对RV320 / RV325路由器的固件更新仅将用户代理列入了黑名单。♂️♂https : //t.co/iWrUn98vcr
— Bad Packets Report(@bad_packets),2019年3月27日
Bad Packets LLC的共同创始人特洛伊·穆尔奇(Troy Mursch)和在一月份发现RV320 / RV325初始扫描的人告诉ZDNet,黑客从不停止搜索易受攻击的设备。
此外,许多思科RV320 / RV325所有者最初也没有打扰应用(故障)思科补丁,这意味着大多数设备仍然容易受到一月份在线发布的原始漏洞利用代码的攻击。
但是,即使设备所有者应用了一月份的补丁程序,攻击者现在所要做的就是切换到非卷曲扫描器/漏洞利用工具。
在撰写本文时,思科尚未发布新的补丁程序,而只是对其功能进行了承认。该公司也没有提供适当补丁的时间表。
该公司还发布了其他23个安全补丁,其中大部分是针对该公司的IOS XE操作系统的补丁。没有一个被归类为“严重”严重等级,也没有一个在野外被利用。