Cisco har, enligt deras egna uttalande, fuskat med säkerhetsuppdateringarna för de två routermodellerna RV320 och RV325 som släpptes i januari. De usla patcharna har medfört att cyberkriminella kunnat fortsätta sina attacker de senaste två månaderna, skriver ZDNet.

Ciscos routermodeller RV320/325 är populära bland ISP:er och företag. I januari kom företaget ut med patchar mot de två sårbarheterna CVE-2019-1652 och CVE-2019-1653 – den förra medför distansattacker att injicera och köra kod på enheterna utan lösenord, och den andra medför att förövare kan komma över känsliga konfigurationsdata utan lösenord.

De bägge modellerna började attackeras efter att bland andra it-säkerhetsföretaget Bad Packets LLC, men även andra, publicerat ett så kallat proof-of-concept för hur attackerna kan genomföras. Ungefär 10 000 enheter världen över var, och är, sårbara.

När Cisco släppte sina patchar i januari trodde alla att problemet skulle vara löst, men igår gick Bad Packets LLC ut med att att patcharna är ”bedrövligt inkompletta”. Problemet är att Cisco endast svartlistat verktyget Curl, som används för att överföra data mellan enheter, men som även inkluderas i många internetscanners.

Ciscos tanke var att genom att svartlista Curl skulle de förhindra att förövare skulle kunna upptäcka sårbara enheter och utnyttja sårbarheterna för att ta över routrarna. Detta istället för att fixa den sårbara koden i den inbyggda mjukvaran och/eller operativsystemet, vilket hade varit den korrekta metoden för att fixa problemet.

I en kommentar till TechWorld skriver Daniel Stenberg på wolfSSL (tidigare på Mozilla Foundation), och den som utvecklade Curl, att "den åtgärden var så märklig och halvdan att jag inte riktigt bestämt mig för om att skratta eller gråta!"

–  Man kan också mycket enkelt konfigurera Curl så att den använder en annan user-agent, som alltså den där "spärren" inte ser, och därmed kan man fortsätta använda Curl för sin Cisco-exploit, säger Daniel Stenberg.

Troy Mursch, en av grundarna av Bad Packets LLC, och den som fann sårbarheterna i januari, säger till ZDNet att hackarna aldrig stoppat sina sökanden efter sårbara routrar, de har bara behövt byta ut Curl mot ett annat ekvivalent verktyg.

När detta skrivs har Cisco fortfarande inte släppt nya, riktiga patchar, men de medger sitt misstag. De har heller inte meddelat när patcharna kan komma. Cisco har släppt 23 andra säkerhetspatchar för operativsystemet IOS XE, men ingen av dessa sårbarheter har klassningen ”critical” och ingen av dem finns i det vilda.

Läs också:
Nyupptäckta buggar i Cisco-routrar – bråttom att uppdatera
Stor uppgradering av klassiskt nätverksverktyg