전세계 Cisco RV320/RV325 라우터 9천 대 이상을 위협하는 새로운 익스플로잇 발견

New Exploit Threatens Over 9,000 Hackable Cisco RV320/RV325 Routers Worldwide

조직의 연결 및 보안에 Cisco RV320 또는 RV325 Dual Gigabit WAN VPN 라우터를 사용 중일 경우, 즉시 지난 주 공개 된 최신 펌웨어 업데이트를 설치하시기 바랍니다.

사이버 공격자들이 최근 패치 된 위험도 높은 라우터 취약점 2개를 실제 공격에 활발히 악용하고 있는 것으로 나타났습니다. 이는 지난 주말 한 보안 연구원이 PoC 코드를 인터넷에 공개한 후부터 발생했습니다.

문제의 취약점들은 명령어 인젝션 결점 (CVE-2019-1652) 및 정보 노출 결점 (CVE-2019-1653)이며, 이를 조합하면 원격 공격자가 영향을 받는 Cisco 라우터 전체를 제어할 수 있게 됩니다.

Cisco의 권고에 따르면, 첫 번째 문제는 펌웨어 버전 4.2.15 ~1.4.2.19를 사용하는 RV320과 RV325 dual gigabit WAN VPN 라우터에 존재하며, 두 번째는 펌웨어 버전 1.4.2.15 ~ 1.4.2.17를 사용하는 장비들에 영향을 미칩니다.

이 취약점들은 모두 독일의 보안 회사인 RedTeam Pentesting에서 발견하여 제보 되었습니다. 취약점들은 라우터용 웹 기반 관리 인터페이스에 존재했으며, 원격으로 악용이 가능했습니다.

CVE-2019-1652 – 이 결점은 영향을 받는 장비의 관리자 권한을 가진 인증 된 원격 공격자가 시스템에서 임의 명령어를 실행할 수 있도록 허용합니다.

CVE-2019-1653 – 이 결점은 라우터의 웹 기반 관리 포털에 접근하는데 어떠한 인증도 요구하지 않아 발생합니다. 따라서 공격자는 MD5로 해싱 된 크리덴셜 및 진단 정보가 포함 된 라우터의 구성 파일을 포함한 중요 정보를 얻을 수 있게 됩니다.

인터넷에 처음으로 공개 된 Cisco RV320/RV325 라우터를 타겟으로하는 PoC 익스플로잇 코드는 해싱 된 크리덴셜을 얻기 위해 CVE-2019-1653을 악용하여 라우터로부터 구성 파일을 받아온 후 CVE-2019-1652를 악용하여 영향을 받은 장비에서 임의 명령을 실행하고 완전한 제어 권한을 얻습니다.

사이버 보안 회사인 Bad Packet의 연구원들은 전세계 Cisco 라우터들 최소 9,657대(RV320 6,247대, RV325 3,410대)가 이 정보 노출 결점에 취약하며, 이 중 대부분은 미국에 있다고 밝혔습니다.

이 회사는 122개국의 인터넷 제공 업체의 네트워크 1,619개의 모든 취약한 Cisco RV320/RV325 라우터들을 보여주는 인터랙티브 맵을 공개했습니다.

Bad Packet은 그들의 허니팟이 토요일부터 호스트 다수의 취약한 라우터를 스캐닝하는 활동을 감지 되고 있어, 해커들이 취약한 라우터를 완전히 제어하기 위해 이 결점들을 활발히 악용하는 것으로 추측 된다고 밝혔습니다.

이 공격을 예방하는 가장 좋은 방법은 Cisco RV320과 RV325의 가장 최신 펌웨어인 1.4.2.20을 최대한 빨리 설치하는 것입니다.

이 펌웨어 업데이트를 아직까지 완료하지 않은 관리자들은 이미 해킹 된 것으로 간주하여 라우터의 어드민, WiFi 크리덴셜을 변경하기를 권장합니다.

출처 :

https://thehackernews.com/2019/01/hacking-cisco-routers.html