Atacurile au inceput la doua zile dupa ce Cisco a lansat o actualizare, si la o singura zi dupa ce cercetatorii au publicat un cod demo de exploatare.

La doua zile dupa ce Cisco a rezolvat o vulnerabilitate severa pentru un brand popular de routere SOHO, si la o zi dupa publicarea unui cod-concept de exploatare, hackerii au inceput sa scaneze si sa atace folosind chiar acest cod, in incercarea de a castiga controlul dispozitivelor neactualizate.
Vulnerabilitatea, care poarta numele de CVE-2019-1663, descoperita pe 28 februarie, a primit un scor de severitate de 9.8 din 10 de la echipa Cisco.

Motivul scorului atat de mare este usurinta cu care se poate scrie un cod care sa exploateze acest bug, care le permite hackerilor sa treaca de toate procedurile de autentificare. Atacurile pot avea loc de la distanta, fara ca atacatorii sa se afle in aceasi retea ca si dispozitivul vulnerabil.

Modelele afectate include Cisco RV110, RV130 si RV215, toate acestea fiind modele WiFi folosite de catre persoanele fizice si de catre afacerile mici, ceea ce inseamna ca utilizatorii nu vor fi foarte preocupati de alertele de securitate Cisco, iar majoritatea dispozitielor vor ramane neactualizate, spre deosebire de companiile mari, care pun mult mai mult accent pe securitate.

Potrivit companiei de securitate digitala Rapid7, exista peste 12.000 de astfel de dispozitive online, marea majoritate fiind localizate in SUA, Canada, India, Argentina, Polonia si Romania.
Toate aceste dispositive sunt in prezent atacate, potrivit companiei de securitate Bad Packets, care a detectat atacurile pe 1 martie.

Compania a detectat scanari ale acestor routere de catre hackeri, folosind un bug care a fost publicat in ziua anterioara pe blogul Pen Test Partners, o companie de securitate digitala din Marea Britanie.
In aceasta postare pe blog, Pen Test Partners a acuzat programatorii Cisco pentru aceasta vulnerabilitate, sustinand ca au folosit o functie extrem de nesigura in limbajul de programare C, si anume strcpy (string copy).
Postarea se incheie cu o explicatie despre cum folosirea acestei functii a expus mecanismele de autentificare ale Cisco RV110, RV130 si RV215 la supraincarcare, lucru care le-a permis hackerilor sa ataseze comenzi malitioase, care au fost executate in timpul procesului de login.

Atacatorii care au citit postarea de pe blog au folosit exemplul dat de Pen Test Partners pentru a prelua controlul dispozitivelor vulnerabile.

Toti cei care detin aceste produse ar trebui sa aplice cat mai repede actualizarile, iar daca suspecteaza ca routerul a fost deja compromis, un nou firmware este recomandat.

 

Preluat de pe ZD Net