25 stycznia pojawił się w sieci eksploit na podatności routerów Cisco RV320 i RV325: CVE-2019-1652 oraz CVE-2019-1653. Wykorzystanie eksploita pozwala wykonać zdalnie dowolne polecenie na urządzeniu oraz pobrać konfigurację urządzeń z danymi uwierzytelniającymi (hash MD5). Praktycznie natychmiast pułapki (honeypots) utrzymywane przez zespół Bad Packets zaczęły wykrywać skanowanie w poszukiwaniu podatnych urządzeń. Szacuje się, ze jest ich ponad dziewięć tysięcy z czego 233 w Polsce (stan na 26 stycznia). Przejęcie kontroli na routerem umożliwia jego wykorzystanie w botnecie – zdalnie zarządzanej sieci urządzeń wykorzystywanych do ataków, w tym DDoS. Należy jak najszybciej zastosować aktualizacje opublikowane przez Cisco: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-inject https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-info
Mierzymy bezpieczeństwo