25 stycznia pojawił się w sieci eksploit na podatności routerów Cisco RV320 i RV325: CVE-2019-1652 oraz CVE-2019-1653.
Wykorzystanie eksploita pozwala wykonać zdalnie dowolne polecenie na urządzeniu oraz pobrać konfigurację urządzeń z danymi uwierzytelniającymi (hash MD5).
Praktycznie natychmiast pułapki (honeypots) utrzymywane przez zespół Bad Packets zaczęły wykrywać skanowanie w poszukiwaniu podatnych urządzeń. Szacuje się, ze jest ich ponad dziewięć tysięcy z czego 233 w Polsce (stan na 26 stycznia).
Przejęcie kontroli na routerem umożliwia jego wykorzystanie w botnecie – zdalnie zarządzanej sieci urządzeń wykorzystywanych do ataków, w tym DDoS.
Należy jak najszybciej zastosować aktualizacje opublikowane przez Cisco: