如果您的组织的连接性和安全性依赖于 Cisco RV320 或 RV325 双千兆 WAN VPN 路由器，那么您需要立即安装供应商上周发布的最新固件更新。

安全研究人员上周末在互联网上发布了他们的概念验证漏洞利用代码后，网络攻击者一直在积极利用两个新修补的高严重性路由器漏洞。

有问题的漏洞是命令注入漏洞（指定为 CVE-2019-1652）和信息泄露漏洞（指定为 CVE-2019-1653），这两个漏洞的组合可能允许远程攻击者完全控制受影响的 Cisco 路由器。

根据思科的建议，第一个问题存在于运行固件版本 1.4.2.15 到 1.4.2.19 的 RV320 和 RV325 双千兆 WAN VPN 路由器中，第二个问题影响固件版本 1.4.2.15 和 1.4.2.17 。

这两个漏洞由德国安全公司 RedTeam Pentesting 发现并负责任地报告给公司，实际上存在于用于路由器的基于 Web 的管理界面中，并且可以远程利用。

• CVE-2019-1652——该漏洞允许在受影响设备上具有管理权限的经过身份验证的远程攻击者在系统上执行任意命令。
• CVE-2019-1653——此漏洞不需要任何身份验证即可访问路由器的基于 Web 的管理门户，允许攻击者
  检索敏感信息，包括路由器的配置
  文件，其中包含 MD5 散列凭据和诊断信息。

互联网上发布的针对Cisco RV320/RV325路由器的PoC漏洞利用代码首先利用CVE-2019-1653从路由器中检索配置文件以获取其哈希凭证，然后利用CVE-2019-1652执行任意命令并获得完全控制受影响的设备。

网络安全公司Bad Packets 的研究人员表示，他们在全球发现至少 9,657 台 Cisco 路由器（6,247 台 RV320 和 3,410 台 RV325）容易受到信息泄露漏洞的影响，其中大部分位于美国。

该公司分享了一张交互式地图，显示了 122 个国家和 1,619 家独特的互联网服务提供商网络中所有易受攻击的 RV320/RV325 Cisco 路由器。

Bad Packets 表示，其蜜罐从周六开始检测到来自多个主机的易受攻击路由器的机会性扫描活动，这表明黑客正在积极尝试利用这些漏洞来完全控制易受攻击的路由器。

来源：https : //thehackernews.com/2019/01/hacking-cisco-routers.html