思科rv215w(头条:黑客已经开始攻击思科RV110、RV130和RV215路由器)
在思科修复了流行的SOHO路由器的严重漏洞两天后,在概念验证代码发布一天后,黑客开始扫描攻击,并利用安全漏洞接管了未修复的设备。
该漏洞被追踪为CVE-2019-1663,因为它是在2月27日推出的,因为它从思科团队那里获得了9.8分的严重性分数,最高分数为10分。
之所以评价这么高,是因为这个漏洞很容易使用,不需要高级的编码技巧和复杂的攻击套路。它完全绕过了身份验证过程;路由器可以通过互联网进行远程攻击,但攻击者实际上并不与易受攻击的设备出现在同一个本地网络上。
受影响的型号包括思科RV 110、RV 130和RV 215,它们都是部署在小型企业和家庭中的WiFi路由器。
这意味着这些设备的所有者将不会注意思科安全警报,并且这些路由器中的大多数将保持未打补丁的状态-这与IT人员已经部署思科补丁的大型企业环境不同。
根据网络安全公司Rapid 7的数据,这些设备中有超过12,000个可以在线使用,其中大部分位于加拿大、阿根廷、波兰和罗马尼亚。
根据网络安全公司Bad Packet的说法,所有这些设备现在都受到了攻击。该公司报告称,3月1日检测到扫描。
检查是否增加了对“login.cgi”的扫描-它可能在寻找易受攻击的Cisco RV110W、RV130W和RV215W路由器。@ pentespartners :3359T.co/ndqhxgmi9pic.twitter.com/J3kg3xsz5w最近发布了《CVE的概念证明——2019-1663》。
一天前,该公司利用英国网络安全公司PenTestPartners发布的一个漏洞来检测此类路由器的黑客。
去年,一名研究人员和来自PenTest Partners的另外两名安全专家发现了这个特别的弱点。
在博文中,合作伙伴将CVE-2019-1663的根本原因归结为思科编码器使用C编程语言的功能不安全,这也是strCPy的根本原因。
公司的博文中包含了如何使用这个C编程功能打开CiscoRV110、RV130、RV215路由器的认证机制溢出缓冲区,让攻击者在认证时可以泛滥密码字段,附加在管理员权限下执行的恶意命令。
阅读博客文章的攻击者似乎正在使用Pen TestPartners中提供的示例接管易受攻击的设备。
这些设备的任何所有者都需要尽快应用更新。如果他们认为自己的路由器损坏,建议重新关联设备固件。