Jetzt patchen! Angreifer machen Jagd auf Cisco-Router

Wie die Router RV320 und RV325 von Cisco betreibt, sollte die Geräte zügig auf den aktuellen Softwarestand bringen. Derzeit sollen unbekannte Angreifer weltweit nach Routern mit angreifbarer Firmware scannen. Exploit-Code ist bereits verfügbar und im schlimmsten Fall ist die Ausführung von Schadcode möglich.

Sicherheitsforscher von Bad Packets Reports haben die Scans von Angreifern nach verwundbaren Geräten beobachtet und warnen in einem Beitrag vor möglichen Attacken. Anschließend haben sie selbst Ausschau gehalten und über 9600 anfällige Geräte entdeckt. Der Großteil davon soll sich in den USA befinden.

Die Sicherheitslücken finden sich in den Routern RV320 und RV325 mit den Firmwares 1.4.2.15 und 1.4.2.17. Cisco gibt an, die Schwachstellen ab der Version 1.4.2.19 geschlossen zu haben.

Lücken kombiniert

Zwar ist bereits Exploit-Code öffentlich, das Ausführen von Schadcode ist aber nicht ohne Weiteres möglich. Dafür müsste ein Angreifer erst eine Lücke (CVE-2019-1653) ausnutzen, um so Admin-Zugangsdaten auszulesen. Wenngleich das ausgelesene Passwort gehasht vorliegt – welches Verfahren hier zum Einsatz kommt, ist derzeit nicht bekannt.

Falls ein Angreifer in der Lage ist so ein Admin-Passwort zu knacken, kann er die andere Schwachstelle ( CVE-2019-1652) ausnutzen, um so eigene Befehle auf Geräten auszuführen. (des)