思科rv215w_头条:黑客已经开始攻击思科RV110、RV130和RV215路由器

在思科修复了流行的SOHO路由器的严重漏洞两天后，在概念验证代码发布一天后，黑客开始扫描攻击，并利用安全漏洞接管了未修复的设备。

该漏洞被追踪为CVE-2019-1663，因为它是在2月27日推出的，因为它从思科团队那里获得了9.8分的严重性分数，最高分数为10分。

之所以评价这么高，是因为这个漏洞很容易使用，不需要高级的编码技巧和复杂的攻击套路。它完全绕过了身份验证过程；路由器可以通过互联网进行远程攻击，但攻击者实际上并不与易受攻击的设备出现在同一个本地网络上。

受影响的型号包括思科RV110、RV130和RV215，它们都是部署在小型企业和家庭中的WiFi路由器。

这意味着这些设备的所有者将不会注意思科安全警报，并且这些路由器中的大多数将保持未打补丁的状态-这与IT人员已经部署思科补丁的大型企业环境不同。

根据网络安全公司Rapid7的数据，这些设备中有超过12，000个可以在线使用，其中大部分位于加拿大、阿根廷、波兰和罗马尼亚。

根据网络安全公司BadPacket的说法，所有这些设备现在都受到了攻击。该公司报告称，3月1日检测到扫描。

检查是否增加了对“login.cgi”的扫描-它可能在寻找易受攻击的CiscoRV110W、RV130W和RV215W路由器。@pentespartners:3359T.co/ndqhxgmi9pic.twitter.com/J3kg3xsz5w最近发布了《CVE的概念证明——2019-1663》。

一天前，该公司利用英国网络安全公司PenTestPartners发布的一个漏洞来检测此类路由器的黑客。

去年，一名研究人员和来自PenTestPartners的另外两名安全专家发现了这个特别的弱点。

在博文中，合作伙伴将CVE-2019-1663的根本原因归结为思科编码器使用C编程语言的功能不安全，这也是strCPy的根本原因。

公司的博文中包含了如何使用这个C编程功能打开CiscoRV110、RV130、RV215路由器的认证机制溢出缓冲区，让攻击者在认证时可以泛滥密码字段，附加在管理员权限下执行的恶意命令。

阅读博客文章的攻击者似乎正在使用PenTestPartners中提供的示例接管易受攻击的设备。

这些设备的任何所有者都需要尽快应用更新。如果他们认为自己的路由器损坏，建议重新关联设备固件。