Oltre 9000 router esposti ad nuova ondata di attacchi - Cyber Security immagine-preview

Feb 4, 2019

Oltre 9000 router esposti ad nuova ondata di attacchi

Recentemente Cisco ha rilasciato gli aggiornamenti di sicurezza per risolvere alcune falle di sicurezza in diversi prodotti, inclusi i router della linea Small Business RV320 / RV325 attualmente presi di mira dagli hacker

Cisco ha rilasciato aggiornamenti di sicurezza per risolvere due falle presenti nei router della famiglia Cisco Small Business RV320 e RV325. La prima vulnerabilità potrebbe essere sfruttata in remoto da un utente malintenzionato e non in possesso di privilegi di amministratore per ottenere informazioni sensibili (CVE-2019-1653), mentre la seconda falla può essere sfruttata per iniettare comandi all’interno del dispositivo e farli eseguire (CVE-2019-1652).

 

La notizia è che gli hacker stanno prendendo di mira i router Cisco RV320 / RV325 utilizzando nuovi exploit, ovvero codici in grado di sfruttare le falle di recente risolte da Cisco.

Dopo la divulgazione del codice exploit per le vulnerabilità è stata osserva campagna di hacking volta ai router Cisco RV320 e RV325, gli hacker stanno conducendo una scansione massiva di Internet alla ricerca di dispositivi vulnerabili nel tentativo di comprometterli.

Cisco però ha rilasciato aggiornamenti per entrambi i modelli RV320 e RV325 che risolvono quindi la vulnerabilità di command injection (CVE-2019-1652) e quella di information disclosure (CVE-2019-1653), entrambi presenti nell’interfaccia web per la gestione dei router.

 

Sfruttando in maniera congiunta le due falle è possibile compromettere i router Cisco, in particolare gli hacker stanno sfruttando gli exploit per riuscire ad eseguire comandi con permessi di root sul dispositivo.

Entrambe le vulnerabilità sono state scoperte dagli esperti della società RedTeam Pentesting, gli stessi hanno poi pubblicato i codici exploit per sfruttare le falle dopo che Cisco ha rilasciato gli aggiornamenti.

I ricercatori hanno rilasciato gli exploit per entrambe le vulnerabilità ai seguenti indirizzi:

Altri exploit  sono stati pubblicati dall’esperto di sicurezza David Davidson, che li ha testati entrambi con successo sui router Cisco RV320.

Ma quanti sono i dispositivi di questi modelli esposti online?

Cercando sul motore di ricerca Shodan i router Cisco RV320 e RV325 vulnerabili è possibile trovare online migliaia di dispositivi.

Il noto esperto di sicurezza Troy Mursch, direttore della ricerca presso Bad Packets, ha utilizzando il motore di ricerca BinaryEdge individuando ben 9.657 dispositivi esposti online (6.247 router Cisco RV320 e 3.410 router Cisco RV325).

Mursch ha creato una mappa interattiva che mostra la distribuzione geografica dei router vulnerabili, la maggior parte dei quali si trova negli Stati Uniti.

Cisco RV320 RV325

“A causa della natura sensibile di queste vulnerabilità, gli indirizzi IP dei router Cisco RV320 / RV325 interessati non saranno pubblicati pubblicamente”. Recita un post pubblicato da Mursch su Badpackets.

“Tuttavia, l’elenco è disponibile gratuitamente per la revisione da parte dei CERT autorizzati. Abbiamo condiviso le nostre conclusioni direttamente con Cisco PSIRT e US-CERT per ulteriori indagini e rimedi”

Concludendo, è fondamentale installare gli aggiornamenti rilasciati da Cisco per evitare che i router vulnerabili siano compromessi in campagne come quelle in corso in questi giorni.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter