新的攻击威胁到全球9000多台可黑客攻击的Cisco RV320/RV325路由器

上周末，一名安全研究人员在互联网上发布了他们的概念验证攻击代码后，网络攻击者一直在积极利用两个新修补的高严重性路由器漏洞。

存在问题的漏洞包括命令注入漏洞（分配给CVE-2019-1652）和信息泄露漏洞（分配给CVE-2019-1653），这两个漏洞的组合可能使远程攻击者能够完全控制受影响的Cisco路由器。

根据思科的建议，第一个问题存在于运行固件版本1.4.2.15至1.4.2.19的RV320和RV325双千兆WAN VPN路由器中，第二个问题影响固件版本1.4.2.15和1.4.2.17。

这两个漏洞都是由德国安全公司RedTeam Pentesting发现并负责报告给该公司的，它们实际上存在于路由器使用的基于网络的管理界面中，可以远程利用。

• CVE-2019-1652和#8212；该漏洞允许对受影响设备具有管理权限的经过身份验证的远程攻击者在系统上执行任意命令。
• CVE-2019-1653—；该漏洞不需要任何身份验证就可以访问路由器的基于web的管理门户，从而允许攻击者检索敏感信息，包括路由器的配置文件，其中包含MD5哈希凭据和诊断信息。

针对Internet上发布的Cisco RV320/RV325路由器的PoC攻击代码首先利用CVE-2019-1653从路由器检索配置文件以获取其哈希凭证，然后利用CVE-2019-1652执行任意命令并获得对受影响设备的完全控制。

网络安全公司Bad Packets的研究人员表示，他们发现全球至少有9657台Cisco路由器（6247 RV320和3410 RV325）易受信息披露漏洞的攻击，其中大部分位于美国。

该公司共享了一张互动地图，显示了122个国家和1619家独特互联网服务提供商网络上所有易受攻击的RV320/RV325 Cisco路由器。

Bad Packets表示，其蜜罐从周六开始检测到来自多个主机的易受攻击路由器的机会主义扫描活动，这表明黑客正在积极尝试利用这些漏洞来完全控制易受攻击的路由器。

保护自己不成为此类攻击目标的最佳方法是尽快安装最新的Cisco RV320和RV325固件版本1.4.2.20。

强烈建议尚未应用固件更新的管理员更改路由器的管理员和WiFi凭据，因为他们自己已经受到威胁。