Спустя всего два дня после публикации информации об уязвимости в популярных моделях SOHO маршрутизаторов Cisco и обнародования демонстрационного эксплоита киберпреступники начали активно атаковать уязвимые устройства.

Речь идет об уязвимости CVE-2019-1663, позволяющей в любом браузере выполнить произвольный код через web-интерфейс уязвимого устройства. Проблема затрагивает Cisco RV110W Wireless-N VPN Firewall, Cisco RV130W Wireless-N Multifunction VPN Router и Cisco RV215W Wireless-N VPN Router.

По данным компании Rapid7, в настоящее время в Сети доступны более 12 тыс. уязвимых устройств, большинство из них расположены в США, Канаде, Индии, Польше, Аргентине и Румынии. Согласно информации специалистов из Bad Packets, активное сканирование на предмет уязвимых устройств началось 1 марта нынешнего года. В ходе атак злоумышленники используют PoC-код, опубликованный экспертами компании Pen Test Partners 28 февраля.

Компания Cisco уже выпустила патч, устраняющий уязвимость. Пользователям рекомендуется как можно скорее установить обновление. В случае, если устройства уже скомпрометированы, потребуется перепрошивка маршрутизаторов.

Новые атаки лишний раз доказывают, что публикация PoC-кодов только играет на руку злоумышленникам. Ранее похожая ситуация сложилась вокруг сайтов на базе CMS Drupal – спустя три дня после выпуска патча для уязвимости CVE-2019-6340 в ядре Drupal злоумышленники активно начали внедрять криптомайнер CoinIMP на уязвимые сайты, используя доступный на различных ресурсах PoC-код.

Источник: securitylab.ru