رفع آسیب‌پذیری‌های مسیریاب‌های RV320 و RV325 توسط سیسکو در هفته‌ی اول ماه آوریل 2019

سیسکو در هفته‌ی اول ماه آوریل اعلام کرد وصله‌های امنیتی جدیدی برای مسیریاب‌های RV320 و RV325 منتشر کرده است که آسیب‌پذیری‌هایی که طی مدت دو ماه هدف حمله قرار گرفته‌اند را به‌درستی برطرف می‌سازد. ( پشتیبانی شبکه ، مجازی سازی )
شرکت سیسکو سعی داشت این آسیب‌پذیری‌ها را ماه ژانویه برطرف سازد؛ اما وصله‌های منتشرشده‌ی اولیه هنوز کامل نشده بودند.
هر دوی این آسیب‌پذیری‌ها، مسیریاب‌های واسط مدیریتی مبتنی بر وب Small Business RV320 و Rv325 Dual Gigabit WAN VPN را تحت‌تأثیر قرار می‌دهند و به گفته‌ی سیسکو به طور گسترده‌ای در حملات مورد سوءاستفاده قرار گرفته‌اند.
آسیب‌پذیری اول با شناسه‌ی CVE-2019-1653 می‌تواند توسط یک مهاجم راه‌دور و احرازهویت‌نشده‌ با حق دسترسی مدیریتی برای به‌دست آوردن اطلاعات حساس مورد سوءاستفاده قرار گیرد. مهاجم می‌تواند از این آسیب‌پذیری با اتصال به یک دستگاه آسیب‌پذیر از طریق HTTP یا HTTPs و درخواست‌ URLهای خاص سوءاستفاده کند. سوءاستفاده‌ی موفق به مهاجم اجازه می‌دهد پیکربندی مسیریاب یا اطلاعات تشخیصی دقیق را دانلود کند. سوءاستفاده به این شکل ها می‌تواند منجر به نقص دوم شود.
نقص دوم با شناسه‌ی CVE-2019-1652 ردیابی می‌شود و ناشی از ورودی نامعتبر کاربر است. این امر به یک مهاجم راه دور و احرازهویت‌نشده با دسترسی مدیریتی اجازه می‌دهد دستورات دلخواه را بر روی دستگاه آسیب‌پذیر اجرا نماید. یک مهاجم می‌تواند با ارسال درخواست‌های مخرب HTTP POST به واسط مدیریتی مبتنی بر وب یک دستگاه متأثر از این آسیب‌پذیری سوءاستفاده نماید. سوءاستفاده‌ی موفق از این نقص به مهاجم اجازه می‌دهد دستورات دلخواه را بر روی پوسته‌ی زیرین لینوکس به عنوان ریشه اجرا نماید. ( کابل کشی ، فیبر نوری )
با ترکیب این دو نقص با یکدیگر، امکان غلبه بر مسیریاب‌های RV320 و RV325 بسیار شدت پیدا می کند؛ هکرها از این اشکالات برای به‌دست آوردن گذرواژه‌های هش‌شده برای یک حساب کاربری مجاز سوءاستفاده و به عنوان root دستورات مورد نظر خود را اجرا می‌کنند. ( ویپ ، دکل مهاری )

جستجو در موتور جستجوی Shodan برای یافتن مسیریاب‌های آسیب‌پذیر RV320 و RV325، امکان یافتن ده‌ها هزار دستگاه به صورت آنلاین وجود دارد. کارشناس ارشد پژوهشی در Bad Packets به نام Troy Mursch، ، دستگاه‌های آسیب‌پذیر را بااستفاده از موتور جستجوی BinaryEdge مورد جستجو قرار داد و 9657 دستگاه را در معرض خطر آنلاین یافت (6247 مسیریاب Cisco RV320 و 3410 مسیریاب Cisco RV325).
هر دو آسیب‌پذیری CVE-2019-1652 و CVE-2019-1653 بر مسیریاب‌های RV320 و RV325 که سفت‌افزار نسخه‌های 1.4.2.15 تا 1.4.2.20 را اجرا می‌کنند تأثیر می‌گذارند. سیسکو این آسیب‌پذیری‌ها را با انتشار نسخه‌ی 1.4.22 برطرف کرده است.
هیچ راه حلی برای دفع خطر این دو آسیب‌پذیری در دسترس نمی باشد؛ اما غیرفعال‌کردن ویژگی مدیریت راه‌دور (در Firewall-> General؛ واسط مدیریتی مبتنی بر وب در آدرس WAN IP را غیرفعال خواهد ساخت) که این کار باعث کاهش ریسک می گردد.

بیش از 9600 مسیریاب تحت‌تأثیر این دو آسیب‌پذیری قرار داشتند و تمامی این مسیریاب ها به دلیل وصله‌های ناقص همچنان در معرض آسیب باقی ماندند.
پس از انتشار وصله های امنیتی توسط سیسکو، هکرها شروع به سوءاستفاده از نقص‌های این مسیریاب‌ها کردند. پس از انتشار کد اثبات مفهوم برای نقص‌های امنیتی مسیریاب‌های RV320 و RV325، هکرها شروع به اسکن اینترنت می کنند تا دستگاه‌های آسیب‌پذیر را بیابند واین جنین اسنت که در معرض خظر قرار میدهند.