2月1日雷鋒網報導,Rapid7研究人員在思科 RV320和RV325兩種型號路由器中發現了一個名為CVE-2019-1653的漏洞,該漏洞將允許未經身份驗證的遠程攻擊者檢索其保存的全部敏感資訊。
Rapid7首席數據科學家Bob Rudis在其部落格論文中指出:“他通過seclists.org上Full Disclosure郵件列表中的負責人項目觀察到了這一漏洞。而思科 RV320和RV325路由器更多被用於滿足中小型企業和遠程辦公室的需求。
“有一個特定的URL導航恰好包含了設備的整個配置,一旦被突破攻擊者將無需身份驗證獲取到路由器用戶的用戶名、登錄密碼、配置資訊以及各種關鍵資訊。更糟糕的是,在默認情況下啟用了漏洞的路由器界面可以訪問公共Internet伺服器。”
在發現漏洞之後,思科稱已經在第一時間發布了漏洞補丁,並針對此次漏洞造成的影響發布了相關報告。然而,在發現漏洞之後Rapid7安全研究人員繼續針對思科路由器進行了深入對比分析後仍發現了一些問題:
首先,Rudis發現受影響設備的數量與研究員Troy Mursch在報告中提到的數量不一致。在Bad Packets報告中寫的是在超過15000個暴露在互聯網上的主機中有9000多個設備漏洞,而實際上Rudis發現了近20000個暴露在外部伺服器的設備。
Rudis稱:“造成這一區別的原因,很可能是思科對應的伺服器接口是少數通用的。實際上,我發現在易受攻擊的設備群中存在重複的MAC地址,這主要包含在路由器SSL證書提供的返回資訊當中。”
然而,MAC地址應該是特定物理接口所獨有的。Rudis稱:“世界上任何地方都不應該有兩個相同的地址。但是,在易受攻擊的路由器中一個MAC地址出現超過1200次重複的MAC,這似乎與一家名為NetKlass Technology的公司有關。
據悉,該公司幾年前是思科的供應商。重複的MAC可能是由於該供應商在參與開發項目中出現的錯誤問題所導致的,其本身不代表安全問題。
參考來源:darkreading
香港九龍灣馬來街興發大廈15樓D室