Routers Cisco RV320 y RV325 vulnerables a nuevos exploits ¡Parchen cuanto antes!

Apenas se publicó la Prueba de Concepto (PoC) de estos exploits, el pasado viernes hackers maliciosos comenzaron a aprovecharlos, por lo que se hace indispensable parchar tus dispositivos. En septiembre de 2018, la firma alemana RedTeam Pentesting descubrió y reportó privadamente a Cisco tres vulnerabilidades que afectaban a dos de sus routers populares entre ISPs, […]

Apenas se publicó la Prueba de Concepto (PoC) de estos exploits, el pasado viernes hackers maliciosos comenzaron a aprovecharlos, por lo que se hace indispensable parchar tus dispositivos.

En septiembre de 2018, la firma alemana RedTeam Pentesting descubrió y reportó privadamente a Cisco tres vulnerabilidades que afectaban a dos de sus routers populares entre ISPs, grandes empresas y PYMES: los routers dual gigabit WAN VPN Cisco RV320 y RV325, con los firmwares 1.4.2.15 y 1.4.2.17. Los routers de estos modelos con las versiones de firmwares 1.4.2.20 en adelante, tienen este problema ya solucionado (la versión 1.4.2.19 tampoco es vulnerable), pero para quienes posean firmwares más antiguos, la instrucción es parchar de inmediato.

Esto es debido a que recientemente un investigador, David Davidson, decidió publicar la Prueba de Concepto (PoC) que permite encadenar dos exploits para iniciar un ataque exitoso en contra de los routers que estén sin parchar, para aprovechar estas vulnerabilidades.

La publicación de Davidson llegó días después de que Cisco publicara los parches ( para los productos afectados y de inmediato comenzaron a detectarse ataques utilizando la herramienta que diseñó Davidson.

Las vulnerabilidades

Las vulnerabilidades reportadas por RedTeam Pentesting (Cisco RV320 Unauthenticated Diagnostic Data Retrieval y Cisco RV320 Unauthenticated Configuration Export) yacen en la interfaz de administración web usada por los routers y se originan en accesos de control insuficientes. Los atacantes pueden explotarlas conectándose a los dispositivos afectados via HTTP o HTTPS y requerir URLs específicas, lo que les permite descargar la configuración del router o información de diagnóstico detallada. Su riesgo es ALTO, dado que una de las vulnerabilidades permite una revelación de información remota y sin autenticar, lo que puede llevar a una ejecución de código remota.

Las vulnerabilidades son las:

– CVE-2019-1653: Cisco Small Business RV320 and RV325 Routers Information Disclosure Vulnerability: permite a un atacante remoto obtener detalles confidenciales de la configuración del dispositivo sin la necesidad de una contraseña. La vulnerabilidad se debe a controles de acceso incorrectos para las URLs. Un atacante podría aprovechar esta vulnerabilidad conectándose a un dispositivo afectado a través de HTTP o HTTPS y solicitando URL específicas. Un ataque exitoso podría permitir al atacante descargar la configuración del router o información de diagnóstico detallada.

– CVE-2019-1652: Cisco Small Business RV320 and RV325 Routers Command Injection Vulnerability: permite que un atacante remoto autenticado con privilegios administrativos inyecte y ejecute comandos de administración en el dispositivo sin una contraseña. La vulnerabilidad se debe a la validación incorrecta de la entrada proporcionada por el usuario. Un atacante podría explotar esta vulnerabilidad enviando solicitudes HTTP POST maliciosas a la interfaz de administración basada en web de un dispositivo afectado. Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios en el shell de Linux subyacente como root.

Si bien las vulnerabilidades fueron reportadas hace meses, recién el pasado miércoles 23 de enero Cisco liberó parches (CVE-2019-1652 y CVE-2019-1653) para efectuar el upgrade. Una vez hecho esto, David Davidson liberó los exploits para descargar las configuraciones, debuguear los datos y obtener root remotamente.

Los exploits

Desde el punto de vista de la explotación, las vulnerabilidades permiten:

– Descargar el archivo de configuración en plaintext (o texto plano; texto sin encriptar)
– Descargar los archivos de diagnóstico y depuración (en texto cifrado, pero incluyendo config, y los directorios /etc y /var)
– Descifrar los archivos de diagnóstico/depuración cifrados dado que se obtiene /etc/shadow
– Inyectar comandos remotamente después de autenticarse como root en la webUI

Para esto, Davidson creó tres exploits en python: uno para descargar el archivo config, uno para el debuguear los datos obtenidos y uno para hacer explotación post autenticación, lo cual se vale de utilizar la contraseña por defecto que traen los routers: usuario: cisco; contraseña: cisco.

Las repercusiones

Apenas se publicaron estos exploits, comenzaron a utilizarse por los cibercriminales para obtener control absoluto de los dispositivos.

Búsquedas superficiales en Shodan, “el motor de búsqueda para la internet de las cosas”, que permite buscar dispositivos, logran hallar al menos 20.000 de los routers Cisco afectados, pero no todos son vulnerables. Muchas personas tienen la buena costumbre de estar pendientes de los avisos de seguridad y de parchar y hacer upgrades cuando corresponde.

Aun así, Troy Mursch, Chief Research Officer de Bad Packets, informó que a partir del mismo viernes 25 de enero, sus honeypots detectaron actividad de escaneo oportunista apuntando a los routers Cisco RV320 y RV325.

Después de sólo una noche de investigación utilizando BinaryEdge, otro buscador de internet de las cosas, Mursch descubrió 9.657 dispositivos, de los cuales 6.247 son routers Cisco RV320 y el resto, 3.140, routers Cisco RV325.

Mursch también creó un mapa interactivo en donde muestra los dispositivos vulnerables a CVE-2019-1653. Se encontraron dispositivos vulnerables en 122 países. Al momento, el país con más dispositivos vulnerables es EEUU, con 4.389. Chile aparece en el mapa con 20 dispositivos vulnerables. Se detallan los demás países de Sudamérica y Centroamérica. Recomendamos visitar el mapa e informarse.

Columbia is not Colombia!

Nuestras recomendaciones son claras. Es imprescindible mantener nuestros dispositivos actualizados con los últimos firmwares y parchados con los últimos upgrades. En el caso de estos dispositivos afectados, deben ser parchados YA!