In Cisco RV320/RV325-Routern mit alter Firmware gibt es Schwachstelle. Hacker suchen momentan gezielt nach verwundbaren Geräten dieses Herstellers. Es heißt daher, die Geräte zeitnah mit aktualisierter Firmware zu patchen.
Anzeige
Cisco kündigte kürzlich Updates für die Router-Modelle RV320 und RV325 an, die eine Command Injection-Schwachstelle (CVE-2019-1652) und eine Information Disclosure-Lücke (Offenlegung von Informationen) (CVE-2019-1653) beheben. Beide Schwachstellen befinden sich in der Web-Management-Schnittstelle der Router.
Tausende Geräte sind angreifbar
Eine oberflächliche Suche in Shodan zeigt, dass es etwa 20.000 Cisco RV320/RV325 Router gibt, die über das Internet erreichbar sind. Allerdings sind nicht alle diese Instanzen ungepatcht und weisen die Schwachstellen auf.
(Angreifbare Cisco-Router, Quelle: Bad Packets)
Nach Informationen von Troy Mursch, Chief Research Officer bei Bad Packets, wurden aber mehr als 9.500 der Router als ungepatcht identifiziert. Der Großteil der Geräte steht in den Vereinigten Staaten. Laut Bad Packets haben Hacker schnell reagiert, nachdem ein Proof of Concept veröffentlicht wurde und begannen bereits seit Freitag von einer IP-Adresse in den Vereinigten Staaten nach diesen ungepatchten Routermodellen zu suchen.
Anzeige
⚠️ WARNING ⚠️
Incoming scans detected from multiple hosts checking for vulnerable Cisco RV320/RV325 routers.A vulnerability in the web-based management interface of these routers could allow an unauthenticated, remote attacker to retrieve sensitive configuration information. pic.twitter.com/OhQD55WNZD
— Bad Packets Report (@bad_packets) 25. Januar 2019
Der Beitrag hier geht auf die Details ein. Die Sicherheitslücken in den Routern RV320 und RV325 finden sich in den Firmware-Versionen 1.4.2.15 und 1.4.2.17. Cisco hat die Schwachstellen ab der Version 1.4.2.19 geschlossen. Weitere Informationen finden sich in diesem heise.de-Artikel, bei Bleeping Computer und The Hacker News. Der Cisco-Sicherheitshinweis ist hier zu finden.
Anzeige
Viel Wind um nichts wenn die Lücke bereits mit 1.4.2.19 geschlossen wurde, die gibts nämlich schon seit 27-Apr-2018!
Aktuell ist man bei 1.4.2.20 vom 22-Jan-2019
Die betroffenen Firmware 1.4.2.15 und 1.4.2.17 sind die ersten Versionen aus dem 1.4er Zweig und vom 15-Sep-2017 bzw. 17-Nov-2017
Riecht für mich nach einer Sommerloch News, nicht nur weil Uralt und schon behoben sondern auch wegen angeblich der winzigen Anzahl an betroffenen Geräten.
Stimmt, in Südafrika und in Australien ist Sommer … wenn es mir nun noch gelingt, die Australier und Südafrikaner in den Blog zu locken, heißt es 'mission accomplished' ;-)
Die Sicherheitsanfälligkeit CVE-2019-1652 wird erst mit dem Firmware-Update 1.4.2.20 behoben.