یک بهره‌بردار جدید بیش از 9.000 روتر سیسکو (مدل‌های RV320/RV325) را در سراسر جهان تهدید می‌کند. - مرکز پژوهشی آپا

سیسکو

اگر ارتباطات و امنیت سازمان شما به روترهای سیسکو با مدل‌های RV320 یا RV325 از نوع Dual Gigabit WAN VPN وابسته است، حتماً باید آخرین به‌روزرسانی را برای firmware آن‌ها که توسط سازنده این روترها در هفته گذشته منتشر شده است، هر چه سریع‌تر نصب کنید.

مهاجمان سایبری پس‌ازآنکه یک محقق امنیتی کد بهره‌بردار اثبات ادعای خود را در اواخر هفته گذشته روی اینترنت قرار داد؛ به‌طور فعال از دو آسیب‌پذیری اخیراً وصله شده و با حساسیت بالا در سطح اینترنت بهره‌برداری می‌کنند[۱].

آسیب‌پذیری‌های موردنظر یک نقص تزریق دستور (با شماره CVE-2019-1652) و یک نقص افشای اطلاعات (با شماره CVE-2019-1653) هستند که ترکیبی از آن‌ها می‌تواند به یک مهاجم از راه دور اجازه دهد تا کنترل کامل روتر سیسکوی آلوده‌شده را در اختیار گیرد.

طبق گزارش منتشرشده توسط سیسکو[۲]، اولین آسیب‌پذیری در روترهای RV320 و RV325 دو گیگابیتی WAN VPN وجود دارد که از نسخه ۱٫۴٫۲٫۱۵ تا ۱٫۴٫۲٫۱۹ استفاده می‌کنند و دومین آسیب‌پذیری روی firmware های نسخه ۱٫۴٫۲٫۱۵ و ۱٫۴٫۲٫۱۷ تأثیرگذار است.

هردوی این آسیب‌پذیری‌ها توسط شرکت امنیتی RedTeam Pentesting واقع در آلمان کشف‌شده و توسط این شرکت به سیسکو گزارش شده‌اند. این آسیب‌پذیری‌ها درواقع در رابط کاربری مدیریتی مبتنی بر وب روی روترها قرار داشتند و از راه دور قابل بهره‌برداری هستند.

آسیب‌پذیری CVE-2019-1652: این نقص به یک مهاجم دارای مجوز معتبر و از راه دور با امتیازات مدیریتی روی یک دستگاه آسیب‌دیده اجازه می‌دهد تا دستورات دلخواه را روی سیستم اجرا کند.
آسیب‌پذیری CVE-2019-1653: این نقص نیازی به احراز هویت برای دستیابی به پورتال مدیریت مبتنی بر وبِ روتر ندارد، به‌طوری‌که به مهاجمان اجازه می‌دهد تا اطلاعات حساس ازجمله فایل پیکربندی روتر حاوی اطلاعات هش شده MD5 و اطلاعات تشخیصی را بازیابی کند.

کد بهره‌بردار اثبات این ادعا که روترهای سیسکو مدل RV320 و RV325 را هدف قرار داده بود؛ در اینترنت منتشر شد، این کد برای اولین بار از CVE-2019-1653 استفاده می‌کند تا فایل پیکربندی را از روتر دریافت کند تا اعتبارهای هش شده خود را به دست آورد و سپس از CVE-2019-1652 را برای اجرای دستورات دلخواه و کنترل کامل دستگاه آسیب‌دیده بهره‌برداری می‌کند.

محققان شرکت امنیتی Bad Packets گفتند که حداقل ۹،۶۵۷ روتر سیسکو (۶،۲۴۷ عدد روتر مدل RV320 و ۳،۴۱۰ عدد روتر مدل RV325) در سراسر جهان پیداکرده‌اند که به این آسیب‌پذیری افشای اطلاعات آسیب‌پذیر هستند که اکثر آن‌ها در ایالات‌متحده قرار دارند[۳].

این شرکت یک نقشه تعاملی را برای نشان دادن همه روترهای آسیب‌پذیر RV320 یا RV325 به اشتراک گذاشت [۴] که ۱۲۲ کشور و شبکه‌ای از ۱۶۱۹ ارائه‌دهنده خدمات اینترنت منحصربه‌فرد دارای این روترهای آسیب‌پذیر بودند.

Bad Packets دراین‌باره گفت که هانی‌پات آن‌ها، فعالیت شنود فعالی را برای روترهای آسیب‌پذیر از چندین میزبان تشخیص دادند و هکرها به‌طور فعال تلاش می‌کنند تا از این نقص‌ها برای کنترل کامل روترهای آسیب‌پذیر استفاده کنند.

بهترین راه برای محافظت از خود در برابر چنین حملاتی نصب جدیدترین نسخه از firmwareهای سیسکو RV320 و RV325 یعنی نسخه ۱٫۴٫۲٫۲۰ در اسرع وقت است[۵].

به مدیرانی که هنوز این به‌روزرسانی‌های firmware را اعمال نکرده‌اند، به‌شدت توصیه می‌شود که نام‌های کاربری و کلمات عبور روترهای خود را تغییر داده و به این نکته توجه کنند که امکان دارد در حال حاضر نیز به خطر افتاده باشند.

منابع

[۱] https://github.com/0x27/CiscoRV320Dump

[۲] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-inject

[۳]https://badpackets.net/over-9000-cisco-rv320-rv325-routers-vulnerable-to-cve-2019-1653

[۴]https://docs.google.com/spreadsheets/d/1ZocV8n4DOmcKJ_ugjjQ_gjIAmDHxT1JBhVxIAdABVyY/edit#gid=1297196434

[۵] https://software.cisco.com/download/home/284005929/type/282465789/release/1.4.2.20?catid=268437899

[۶] https://thehackernews.com/2019/01/hacking-cisco-routers.html