Cisco RV320/RV325 – krótko po ujawnieniu podatności, przejmowane są routery – również w Polsce

28 stycznia 2019, 14:54 | W biegu | komentarzy 5
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Co dopiero zostały ujawnione podatności umożliwiające wykonanie dowolnego kodu na routerach Cisco RV320/RV325, a już trwają ataki. Potwierdzone, podatne routery są również w Polsce.

Atak jest dość prosty, wystarczy odwołać się do zasobu /cgi-bin/config.exp i otrzymujemy bez uwierzytelnienia dostęp do konfiguracji urządzenia (w tym hashe haseł użytkowników). Co ciekawe, wygląda na to, że hashy nawet nie trzeba łamać:

Knowledge of a user’s password hash is sufficient to log into the router’s web interface.

Druga podatność to proste wstrzyknięcie kodu w systemie operacyjnym (jako root). W skrócie – łatajcie.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Paweł

    Te routery koło cisco nawet nie leżały ;)

    Rozumiem, że cisco jest odpowiedzialne za produkty linksysa. Firma przynosi im więcej szkody niż pożytku. Biznes z konsekwencjami

    Odpowiedz
  2. Jack

    Ten CIsco RV-320 generalnie nie jest zbyt szczesliwy.
    Firmware ma problem z zestawianiem tuneli VPN.
    Poprzednia wersja zestawiala 1.2.1.14 a nowa 1.3.2.02 (teraz to poprzednia) zestawiala tunel tylko w momencie restaru jednoczesnego obu routerow.

    Dziura faktycznie dziala. Pobiera sie plik konfiguracji.
    Po zalataniu do wersji 1.4.2.20 spada na strone defaultowa.

    Odpowiedz
  3. Jack

    W pliku konfiguracji maja nie zahaszowane hasła.
    Wszysto na czysto widac!

    Odpowiedz

Odpowiedz