В начале марта мы наблюдаем такую же ситуацию с многострадальными роутерами Cisco, что и в январе, разве что сменился порядковый номер уязвимости. События разворачивались следующим образом: в первых числах марта инженеры компании Cisco исправили в своих продуктах критическую уязвимость CVE-2019-1663. Баг затрагивает устройства Cisco RV110W Wireless-N VPN Firewall, Cisco RV130W Wireless-N Multifunction VPN Router, а также Cisco RV215W Wireless-N VPN Router, если на них включена функция удаленного администрирования (неактивна по умолчанию).
На следующий день после релиза исправлений, эксперты Pen Test Partners, которые в прошлом году обнаружили эту проблему, вместе со своими китайскими коллегами, опубликовали подробное описание уязвимости в блоге компании. Описание, по-видимому, оказалось действительно подробным, так как сразу после публикации в блоге началась массовая атака на уязвимые роутеры Cisco.
Согласно Rapid7, в настоящее время в онлайне можно обнаружить около 12 000 таких устройств, большинство из которых расположены в США, Канаде, Индии, Аргентине, Польше и Румынии. Эксплуатируемая язвимость CVE-2019-1663 набрала 9,8 баллов из 10 возможных по шкале оценки уязвимостей CVSS V3, и всем владельцам роутеров Cisco указанных моделей, кто еще этого не сделал, следует установить обновления как можно скорее. Да и всем остальным тоже.
АКБ подчеркивает, что ситуация почти идентична январской, когда защищенные WAN VPN маршрутизаторы Cisco RV320 и RV325, весьма популярные у интернет-провайдеров и компаний, стали мишенью для хакерских атак после публикации на GitHub proof-of-concept эксплоита для серьезных уязвимостей в этих моделях маршрутизаторов.
Тогда уязвимостей было две. Первая, которой присвоили код CVE-2019-1653, позволяет удаленному атакующему получить данные о конфигурации устройства (без пароля). Вторая проблема, CVE-2019-1652 давала возможность злоумышленнику удаленно внедрять и выполнять произвольные команды на уязвимом девайсе.
Инженеры Cisco исправили эти проблемы еще 23 января текущего года, выпустив патчи. Маршрутизаторы, которые не были обновлены, были радостно атакованы хакерами с помощью того самого эксплоита – причем весьма плотным, массированным фронтом, около 10-20 тысяч устройств, в основном, на территории США.
Вообще уж чего, а страшных историй про маршрутизаторы у АКБ в избытке. Читайте, например, эти:
Американские маршрутизаторы Cisco в осаде: спасибо эксплоиту КБ-специалиста
ФБР отрубило голову гидре из 500 тысяч взбесившихся роутеров
В восьми моделях маршрутизаторов D-Link нашли три критические уязвимости
Взломать водоочистную систему: с промышленным маршрутизатором Moxa это легко
В одном из популярнейших в мире роутеров TP-Link нашли 0-day уязвимости
Это касается каждого: 83% роутеров взламываются по щелчку пальца