رفع آسیب‌پذیری‌های مسیریاب‌های RV320 و RV325 توسط سیسکو

#‫سیسکو در هفته‌ی اول ماه آوریل اعلام کرد وصله‌های امنیتی جدیدی برای مسیریاب‌های RV320 و RV325 منتشر ساخته است که آسیب‌پذیری‌هایی که طی مدت دو ماه هدف حمله قرار گرفته‌اند را به‌درستی برطرف می‌سازد.
شرکت سیسکو سعی داشت این آسیب‌پذیری‌ها را ماه ژانویه برطرف سازد؛ اما وصله‌های منتشرشده‌ی اولیه کامل نبودند.
هر دوی این آسیب‌پذیری‌ها، مسیریاب‌های واسط مدیریتی مبتنی بر وب Small Business RV320 و Rv325 Dual Gigabit WAN VPN را تحت‌تأثیر قرار می‌دهند و به گفته‌ی سیسکو به طور گسترده‌ای در حملات مورد سوءاستفاده قرار گرفته‌اند.
آسیب‌پذیری اول با شناسه‌ی CVE-2019-1653 می‌تواند توسط یک مهاجم راه‌دور و احرازهویت‌نشده‌ با حق دسترسی مدیریتی برای به‌دست آوردن اطلاعات حساس مورد سوءاستفاده قرار گیرد. مهاجم می‌تواند از این آسیب‌پذیری با اتصال به یک دستگاه آسیب‌پذیر از طریق HTTP یا HTTPs و درخواست‌ URLهای خاص سوءاستفاده کند. سوءاستفاده‌ی موفق به مهاجم اجازه می‌دهد پیکربندی مسیریاب یا اطلاعات تشخیصی دقیق را دانلود کند. سوءاستفاده از این اشکال می‌تواند منجر به نقص دوم شود.
نقص دوم با شناسه‌ی CVE-2019-1652 ردیابی می‌شود و ناشی از ورودی نامعتبر کاربر است. این امر به یک مهاجم راه دور و احرازهویت‌نشده با دسترسی مدیریتی اجازه می‌دهد دستورات دلخواه را بر روی دستگاه آسیب‌پذیر اجرا نماید. یک مهاجم می‌تواند با ارسال درخواست‌های مخرب HTTP POST به واسط مدیریتی مبتنی بر وب یک دستگاه متأثر از این آسیب‌پذیری سوءاستفاده نماید. سوءاستفاده‌ی موفق از این نقص به مهاجم اجازه می‌دهد دستورات دلخواه را بر روی پوسته‌ی زیرین لینوکس به عنوان ریشه اجرا نماید.
با زنجیر‌شدن این دو نقص با هم، امکان غلبه بر مسیریاب‌های RV320 و RV325 وجود دارد؛ هکرها از این اشکالات برای به‌دست آوردن گذرواژه‌های هش‌شده برای یک حساب کاربری مجاز سوءاستفاده و به عنوان ریشه دستورات دلخواه را اجرا می‌کنند.
بیش از 9600 مسیریاب تحت‌تأثیر این دو آسیب‌پذیری قرار داشتند و تمامی آن‌ها به دلیل وصله‌های ناقص همچنان در معرض آسیب باقی ماندند.
پس از انتشار وصله های امنیتی توسط سیسکو، هکرها شروع به سوءاستفاده از نقص‌های این مسیریاب‌ها کردند. پس از انتشار کد اثبات مفهوم برای نقص‌های امنیتی مسیریاب‌های RV320 و RV325، هکرها شروع به اسکن اینترنت کردند تا دستگاه‌های آسیب‌پذیر را بیابند و آن‌ها را در معرض خطر قرار دهند.
با جستجو در موتور جستجوی Shodan برای یافتن مسیریاب‌های آسیب‌پذیر RV320 و RV325، امکان یافتن ده‌ها هزار دستگاه به صورت آنلاین وجود دارد. کارشناس ارشد پژوهشی در Bad Packets به نام Troy Mursch، ، دستگاه‌های آسیب‌پذیر را بااستفاده از موتور جستجوی BinaryEdge مورد جستجو قرار داد و 9657 دستگاه را در معرض خطر آنلاین یافت (6247 مسیریاب Cisco RV320 و 3410 مسیریاب Cisco RV325).
هر دو آسیب‌پذیری CVE-2019-1652 و CVE-2019-1653 بر مسیریاب‌های RV320 و RV325 که سفت‌افزار نسخه‌های 1.4.2.15 تا 1.4.2.20 را اجرا می‌کنند تأثیر می‌گذارند. سیسکو این آسیب‌پذیری‌ها را با انتشار نسخه‌ی 1.4.22 برطرف ساخته است.
هیچ راه حلی برای رفع خطر این دو آسیب‌پذیری در دسترس نیست؛ اما غیرفعال‌کردن ویژگی مدیریت راه‌دور (در Firewall-> General؛ واسط مدیریتی مبتنی بر وب در آدرس WAN IP را غیرفعال خواهد ساخت) میزان ریسک را کاهش می‌دهد.