ผู้เชี่ยวชาญเตือนแฮ็กเกอร์กำลังสแกนหาเราเตอร์ Cisco ที่ไม่อัปแพตช์ล่าสุด

นักวิจัยด้านความมั่นคงปลอดภัยได้พบความพยายามค้นหาเราเตอร์ Cisco RV320 และ RV325 หลังจากก่อนหน้านี้มีการเผยแพร่โค้ด PoC ออกมาถึง 2 ช่องโหว่ที่ทำให้เกิดการเผยข้อมูลและการลอบรันคำสั่งได้ โดย Cisco เคยออกแพตซ์แล้วแต่ยังมีผู้ใช้งานจำนวนมากยังไม่ได้อัปเดตและถูกค้นหาผ่านทาง Shodan ได้

ประเด็นคือบริษัท RedTeam Pentesting ได้ค้นพบช่องโหว่ 2 รายการคือ CVE-2019-1653 ที่ทำให้ผู้โจมตีจากทางไกลที่ไม่ถูกพิสูจน์ตัวตนสามารถได้รับข้อมูลการตั้งค่าอุปกรณ์และช่องโหว่ CVE-2019-1652 ทำให้ผู้โจมตีลอบรันคำสั่งระดับผู้ดูแลได้ ซึ่งทางบริษัทได้แจ้ง Cisco ไปแบบลับๆ จนกลายเป็นแพตช์ออกมาเมื่อวันที่ 23 มกราคมที่ผ่านมา อย่างไรก็ตามเพียง 2 วันให้หลังก็มีนักวิจัยด้านความมั่นคงปลอดภัยที่ชื่อ David Davidson ได้ปล่อยโค้ด PoC การทดสอบช่องโหว่ข้างต้นไว้บน GitHub 

ไม่นานหลังจากนั้นทาง Bad Packets ก็พบความพยายามสแกนหาเพื่อใช้งานช่องโหว่ดังกล่าวโดยทางบริษัทกล่าวว่า “การค้นหาทำผ่าน GET Request เพื่อหา ‘/cgi-in-config.exp’ ที่เป็น Path ให้ผู้โจมตีจากทางไกลสามารถได้รับข้อมูลการตั้งค่าอุปกรณ์ได้” อย่างไรก็ตามหากค้นหา Cisco RV320 และ RV325 ด้วย Shodan จะปรากฏอุปกรณ์ขึ้นมากว่า 9,500 ตัวที่ส่วนใหญ่อยู่ในอเมริกา ทั้งนี้ผู้ใช้งานเราเตอร์รุ่นดังกล่าวควรเข้าไปอัปเดตแพทช์จาก Cisco ให้เป็นเวอร์ชัน 1.4.2.20 ครับ

ที่มา : https://www.zdnet.com/article/hackers-are-going-after-cisco-rv320rv325-routers-using-a-new-exploit/ และ https://www.securityweek.com/hackers-target-cisco-routers-recently-patched-flaws และ https://www.bleepingcomputer.com/news/security/hackers-targeting-cisco-rv320-rv325-routers-using-new-exploits/