[Cảnh Báo] Tin tặc đã bắt đầu các cuộc tấn công nhắm vào các thiết bị Cisco RV110, RV130, và RV215

Các cuộc tấn công bắt đầu hai ngày sau khi Cisco phát hành bản vá, một ngày sau khi các nhà nghiên cứu công bố mã khai thác demo.

[Cảnh Báo] Tin tặc đã bắt đầu các cuộc tấn công nhắm vào các thiết bị Cisco RV110, RV130, và RV215 - CyberSec365.org

Chỉ 2 ngày sau khi Cisco chính thức phát hành bản vá cho lỗ hổng nghiêm trọng trong các thiết bị định tuyến của mình, và chỉ 1 ngày sau khi các nhà nghiên cứu công bố bằng chứng khai thác, các tin tặc đã tiến hành các cuộc tấn công rà quét và khai thác các lỗ hổng nói trên nhằm chiếm quyền các thiết bị chưa kịp cập nhật.

Lỗ hổng, có mã hiệu là CVE-2019-1663, đáng chú ý khi nó được phát hành vào ngày 27/2/2019 với mức độ đánh giá lỗ hổng là "rất nghiêm trọng" và điểm đánh giá là 9,8/10.

Cụ thể, lỗ hổng này được đánh giá là "rất nghiêm trọng" bởi nó rất dễ để khai thác và gần như không đòi hỏi kẻ tấn công phải có những kỹ năng phức tạp. Lỗ hổng này hoàn toàn bỏ qua các phương thức xác thực và các bộ định tuyến của Cisco sẽ dễ dàng bị tấn công từ xa qua Internet mà không cần kẻ tấn công phải tiếp cận với thiết bị.

Các thiết bị bị ảnh hưởng bởi lỗ hổng này bao gồm Cisco RV110, RV130, và RV215, cùng tất cả các thiết bị WiFi được triển khai trong các doanh nghiệp nhỏ và hộ gia đình.

Điều này có nghĩa là chủ sở hữu của các thiết bị này sẽ không chú ý đến các cảnh báo bảo mật của Cisco và hầu hết các bộ định tuyến này sẽ vẫn chưa được cập nhật - giống như trong các môi trường doanh nghiệp lớn nơi nhân viên CNTT đã triển khai các bản sửa lỗi của Cisco.

Theo báo cáo của hãng bảo mật Rapid7, có hơn 12.000 thiết bị này có sẵn trực tuyến, với phần lớn nằm ở Mỹ, Canada, Ấn Độ, Argentina, Ba Lan và Romania.

Tất cả các thiết bị này hiện đang bị tấn công, theo công ty bảo mật mạng Bad Packets, báo cáo phát hiện vào ngày 1 tháng 3.

[Cảnh Báo] Tin tặc đã bắt đầu các cuộc tấn công nhắm vào các thiết bị Cisco RV110, RV130, và RV215 - CyberSec365.org

Bên cạnh đó, hãng này cũng cho biết có thể tin tặc đã sử dụng công cụ khai thác được công bố trước đó một ngày bởi Pen Test Partners, một công ty bảo mật mạng có trụ sở tại Anh. Trong công bố này, Pen Test Partners cho biết cho nguyên nhân chính của CVE-2019-1663 là các lập trình viên của Cisco đang sử dụng chức năng không an toàn của ngôn ngữ lập trình C - có tên là strcpy (sao chép chuỗi).

Bài đăng trên blog của công ty bao gồm một lời giải thích về cách sử dụng chức năng lập trình C này để lại cơ chế xác thực của các bộ định tuyến Cisco RV110, RV130 và RV215 mở cho bộ đệm tràn cho phép kẻ tấn công tràn vào trường mật khẩu và đính kèm các lệnh độc hại được thực thi với quản trị viên quyền trong quá trình xác thực.

Những kẻ tấn công đọc bài đăng trên blog dường như đang sử dụng ví dụ được cung cấp trong bài viết Pen Test Partners để chiếm lấy các thiết bị dễ bị tấn công.

Bất kỳ chủ sở hữu của các thiết bị này sẽ cần phải áp dụng các bản cập nhật càng sớm càng tốt. Nếu họ tin rằng bộ định tuyến của họ đã bị xâm phạm, nên khởi động lại phần sụn của thiết bị