Атаки начались через несколько часов после публикации PoC-эксплоитов для уязвимостей в устройствах.
Исследователи безопасности зафиксировали волну атак на маршрутизаторы Cisco RV320 и RV325, пользующиеся популярностью у интернет-провайдеров и крупных компаний. Атаки начались спустя лишь несколько часов после публикации PoC-эксплоитов для уязвимостей в этих устройствах.
CVE-2019-1653 – позволяет удаленному неавторизованному атакующему получить доступ к данным о конфигурации устройства.
CVE-2019-1652 – позволяет удаленному неавторизованному атакующему внедрять и запускать на устройстве команды для администрирования.
Уязвимости были обнаружены специалистами немецкой компании RedTeam Pentesting, которые сообщили о них Cisco в частном порядке. 23 января 2019 года Cisco выпустила исправления для обеих проблем.
25 января исследователь безопасности Дэвид Дэвидсон (David Davidson) опубликовал в открытом доступе PoC-эксплоиты для этих уязвимостей, и через несколько часов начались атаки. С помощью эксплоита для CVE-2019-1653 злоумышленники пытаются получить сведения о конфигурации маршрутизатора, а затем, используя эксплоит для CVE-2019-1652, пробуют запускать дополнительные команды с целью получить полный контроль над устройством.
Владельцам уязвимых маршрутизаторов настоятельно рекомендуется как можно скорее установить версию прошивки 1.4.2.20.