Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Public Exploit Scripts for Vulnerable Cisco Small Business RV320 and RV325 Devices Now Available

Availability of public exploit scripts for two vulnerabilities in Cisco Small Business WAN VPN routers coupled with incoming scans for vulnerable devices indicate that attackers are preparing to launch attacks.

Background

On January 23, Cisco published a list of security advisories including advisories for two vulnerabilities in Cisco Small Business RV320 and RV325 dual gigabit WAN VPN routers. Both vulnerabilities exist within the routers’ web-based management interface. The first is CVE-2019-1652, a command injection vulnerability that exists in firmware versions 1.4.2.15 through 1.4.2.19. The second is CVE-2019-1653, an information disclosure vulnerability that exists in firmware versions 1.4.2.15 and 1.4.2.17.

Analysis

In order to exploit CVE-2019-1652, a remote attacker would need to be authenticated and have administrative privileges. However, CVE-2019-1653 requires no authentication, so a remote attacker can easily retrieve sensitive information including the router’s configuration file, which includes MD5 hashed credentials as well as diagnostic information.

Proof of concept

On January 24, a security researcher published a repository of exploit scripts on Github to target these vulnerabilities. One of the scripts can be used to exploit CVE-2019-1653 to  retrieve the configuration file from the router as well as the diagnostic information. This information includes hashed credentials for the router, which are trivially hashed using MD5. The md5 hash is md5($password.$auth_key), with the auth_key being a static value that can be readily found by running ‘GET /’ and parsing the output. The other script is designed to exploit CVE-2019-1652 by using default credentials or cracked credentials. Update March 27: RedTeam Pentesting GmbH have shared additional proof-of-concept code as part of their additional disclosure to Cisco about the previous patch being incomplete.

Troy Mursch, who operates the Twitter handle @bad_packets, has observed incoming scans probing for vulnerable versions of the Cisco RV320/RV325 routers, which indicates that attacks are beginning to ramp up. Cursory SHODAN searches indicate that over 20,000 devices matching the affected router models may be publicly exposed. Update January 28: Over 9,000 devices are reportedly vulnerable.

Solution

Cisco has released software updates to address both of these vulnerabilities. CVE-2019-1652 is addressed in Cisco RV320 and RV325 firmware versions 1.4.2.20 and later while CVE-2019-1653 is addressed in RV320 and RV325 firmware versions 1.4.2.19 and later. These software updates can be retrieved from the Cisco Software Center. Update March 27: Cisco updated their RV320 and RV325 advisories today after they received reports that their previous patches for these vulnerabilities were determined to be incomplete. Cisco says they are currently working on a complete fix. We will update this blog once a complete fix has been released.

Identifying affected systems

A list of Nessus plugins to identify these vulnerabilities will appear here as they’re released.

Get more information

Learn more about Tenable, the first Cyber Exposure platform for holistic management of your modern attack surface. Get a free 60-day trial of Tenable.io Vulnerability Management.

Abonnieren Sie den Tenable Blog

Abonnieren
Kostenlos testen Jetzt kaufen

Testen Sie Tenable.io

60 TAGE KOSTENLOS

Profitieren Sie von vollem Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie Ihre gesamten Assets mit unübertroffener Genauigkeit sehen und nachverfolgen können. Melden Sie sich jetzt an und führen Sie innerhalb von 60 Sekunden Ihren ersten Scan durch.

Kaufen Sie Tenable.io

Profitieren Sie von vollem Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie Ihre gesamten Assets mit unübertroffener Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

2.190,00 USD

Jetzt kaufen

Kostenlos testen Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen

Kostenlos testen Jetzt kaufen

Tenable.io Web Application Scanning testen

60 TAGE KOSTENLOS

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an und führen Sie innerhalb von 60 Sekunden Ihren ersten Scan durch.

Tenable.io Web Application Scanning kaufen

Profitieren Sie von vollem Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie Ihre gesamten Assets mit unübertroffener Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Kostenlos testen Vertrieb kontaktieren

Tenable.io Container Security kaufen

60 TAGE KOSTENLOS

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Integrieren Sie die Lösung in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) zur Unterstützung von DevOps-Praktiken, Stärkung der Sicherheit und Unterstützung der Einhaltung von Unternehmensrichtlinien.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Erfahren Sie mehr über Industrial Security

Demo für Tenable.sc anfordern

Bitte tragen Sie Ihre Kontaktdaten in das Formular unten ein. Ein Vertriebsmitarbeiter wird Sie in Kürze kontaktieren, um einen Termin für die Demo zu vereinbaren. Sie können auch einen kurzen Kommentar mitschicken (begrenzt auf 255 Zeichen). Bitte beachten Sie, dass Felder mit einem Sternchen (*) Pflichtfelder sind.