Ende Januar ist im Penetrationstest der RedTeam Pentesting GmbH aufgefallen, dass zwei der Cisco Router eine kritische Schwachstelle in ihrer Firmware haben. Die Router RV320 und RV325 für kleine Unternehmen werden überwiegend in den USA verwendet aber auch weltweit sind diese Router im Einsatz. Insgesamt ergaben Untersuchungen der Honeypot Daten von Bad Packet, dass 11.276 der weltweit vorhandenen 20.000 Router angreifbar sind.

Laut Troy Mursch, Chief Research Officer von Bad Packets, haben Hacker in aller Welt schnell auf das veröffentlichte Proof of Concept reagiert und nach ungepachten Modellen gesucht. RedTeam Pentestesting hatte die Schwachstellen jedoch sofort an Cisco weiter gemeldet. Cisco selbst erstellte so schnell wie möglich eine Anweisung, um die Gefahr zu beheben. Die beiden Schwachstellen betrafen Dual-Gigabit-WAN-VPN-Router RV320 und RV325 von Cisco Small Business, mit Firmwareversionen 1.4.2.15 bis 1.4.2.19. Die neuen Firmwareversionen stehen kostenlos zur Verfügung.

Die beiden Schwachstellen an der Webmanagement-Schnittstelle beider Router tragen die Bezeichnungen CVE-2019-1652 und CVE-2019-1653. 1652 ist eine Command Injection Schwachstelle und 1653 eine Information Disclosure Lücke. Erstere führt zur Letzteren durch eine einfache GET-Anforderung für /cgi-bin/config.exp. Vollständige Details der Konfigurationseinstellungen des Routers werden zurückgemeldet, einschließlich Administratorberechtigungsnachweisen, wobei das Kennwort allerdings gehasht ist. Wichtige Informationen zur Konfiguration können so abgerufen werden. 1652 ermöglicht einem Angreifer mit Administratorrechten, beliebige Befehle auf den betroffenen Routern auszuführen.

Laut Cisco, könnte

„ein Angreifer diese Schwachstelle ausnutzen, indem er schädliche HTTP-POST-Anforderungen an die webbasierte Verwaltungsschnittstelle eines betroffenen Geräts sendet. Ist dies erfolgreich, kann es dem Angreifer ermöglichen, beliebige Befehle auf der zugrunde liegenden Linux-Shell als Root auszuführen.“

Ein anderer Sicherheitsexperte wies darauf hin, dass die Schwachstelle dazu führt, dass die SSID bekannt wird. Troy Mursch erklärte dazu:

„Dadurch können Angreifer Dienste wie WiGLE verwenden, um den physischen Standort des Routers zu ermitteln.“

SANS IT-Sicherheitsexperten Lee Neely kommentierte diese Bekanntmachung wie folgt:

„Es handelt sich hierbei nicht um Geräte für große Unternehmen, sondern um solche für kleinere Unternehmen und Heimbüros. Das Update patcht diese Router. Zum Aktualisieren sollte die neue Firmware am besten auf einen USB-Stick heruntergeladen werden und nicht über einen automatisierten Download- / Installationsvorgang. Ansonsten ist der Prozess ressourcenintensiver. Nutzer müssen aber im Hinterkopf behalten, dass die Schwachstelle bekannt gemacht wurde und die Geräte daher auf Shodan auffindbar sind, falls sie die Firmwareaktualisierung aufschieben wollen.“

Neuer Beitrag von threatpost.com, 28.01.2019: Active Scans Target Vulnerable Cisco Routers for Remote Code-Execution
Artikel von bleepingcomputer.com, 27.01.2019: Hackers Targeting Cisco RV320/RV325 Routers Using New Exploits
Cisco Advisory vom 23.01.2019: Cisco Small Business RV320 and RV325 Routers Command Injection Vulnerability

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0