2月1日雷锋网报道,Rapid7研究人员在思科 RV320和RV325两种型号路由器中发现了一个名为CVE-2019-1653的漏洞,该漏洞将允许未经身份验证的远程攻击者检索其保存的全部敏感信息。
Rapid7首席数据科学家Bob Rudis在其博客论文中指出:“他通过seclists.org上Full Disclosure邮件列表中的负责人项目观察到了这一漏洞。而思科 RV320和RV325路由器更多被用于满足中小型企业和远程办公室的需求。
“有一个特定的URL导航恰好包含了设备的整个配置,一旦被突破攻击者将无需身份验证获取到路由器用户的用户名、登录密码、配置信息以及各种关键信息。更糟糕的是,在默认情况下启用了漏洞的路由器界面可以访问公共Internet服务器。”
在发现漏洞之后,思科称已经在第一时间发布了漏洞补丁,并针对此次漏洞造成的影响发布了相关报告。然而,在发现漏洞之后Rapid7安全研究人员继续针对思科路由器进行了深入对比分析后仍发现了一些问题:
首先,Rudis发现受影响设备的数量与研究员Troy Mursch在报告中提到的数量不一致。在Bad Packets报告中写的是在超过15000个暴露在互联网上的主机中有9000多个设备漏洞,而实际上Rudis发现了近20000个暴露在外部服务器的设备。
Rudis称:“造成这一区别的原因,很可能是思科对应的服务器接口是少数通用的。实际上,我发现在易受攻击的设备群中存在重复的MAC地址,这主要包含在路由器SSL证书提供的返回信息当中。”
然而,MAC地址应该是特定物理接口所独有的。Rudis称:“世界上任何地方都不应该有两个相同的地址。但是,在易受攻击的路由器中一个MAC地址出现超过1200次重复的MAC,这似乎与一家名为NetKlass Technology的公司有关。
据悉,该公司几年前是思科的供应商。重复的MAC可能是由于该供应商在参与开发项目中出现的错误问题所导致的,其本身不代表安全问题。