Två av nätverksjätten Ciscos mindre routrar, som riktar sig till mindre företag, har två sårbarheter som omedelbart började exploateras så fort ett dokument som definierar sårbarheterna blev publicerat. Cyberkriminella skannar internet i jakten på sårbara enheter, skriver Bleeping Computer.
Det tyska it-säkerhetsföretaget Redteam Pentesting hittade sårbarheter i modellen RV320 och rapporterade dessa i hemlighet till Cisco. Företaget fann även att routrarna kan läcka diagnostisk information. Cisco valde att inkludera även systermodellen RV325 då bägge modellerna delar kod.
Cisco har nu publicerat uppdateringar som täpper till sårbarheterna för RV320 och RV325. Sårbarheten med koden CVE-2019-1652 rör en så kallad command injection, och CVE-2019-1653 rör den sårbarhet som röjer viss information som lagras i routern. Bägge sårbarheterna ligger i routrarnas webbgränssnitt.
En attack mot kommando-injektionen kräver att förövaren har administratörsrättigheter som tillåter denne att köra vilka fjärrkommandon som helst, och den andra sårbarheten kan även den utnyttjas på distans, men kräver inga administratörsrättigheter. Problemet är att bägge sårbarheterna skulle kunna kombineras så att en förövare först får ut kontoinformation och sedan utnyttjar möjligheten att köra kommandon med administratörsrättigheter.
När Cisco publicerade sina uppdateringar presenterade de även ett så kallat proof-of-concept. Även färdiga attacker finns publicerade på Github. En övergripande sökning på sökmotorn Shodan visar att det finns cirka 20 000 Cisco RV320/325 som går att nå via internet, och 9 500 av dessa är sårbara, de flesta i USA.
Läs också:
Företag som inte fixar GDPR löper större risk att bli hackade
Tunga tyska politikers personuppgifter exponerade av hackare
