Уязвимости в Cisco RV32x были «устранены» через блокировку запросов от утилиты curl

28 марта 2019 года

Исследователи из компании RedTeam Pentesting обнаружили, что компания Cisco лишь создала видимость устранения уязвимостей в выпущенном в январе обновлении прошивки к маршрутизаторам Cisco RV320 и RV325. Вместо реального устранения проблем в скриптах web-интерфейса, в обновлении прошивки были внесены изменения в настройки http-сервера nginx, блокирующие обращение при помощи утилиты curl, которая использовалась в прототипе эксплоита и примерах для проверки наличия уязвимости.

После установки обновления прошивки 1.4.2.20 с заявленным "устранением" проблем, устройства Cisco RV32x как и раньше остаются уязвимыми. Обновление прошивки с корректным исправлением пока не выпущено и ожидается в середине апреля (компания Cisco была уведомлена о проблеме в начале февраля, а информация об изначальной уязвимости была направлена ещё в сентябре прошлого года). Для атаки достаточно сменить значение User-Agent при помощи ключа "-A", например:

curl -s -k -A kurl -X POST --data 'submitbkconfig=0' https://192.168.1.1/cgi-bin/config.exp

Неисправленными остаются три уязвимости. Две проблемы (CVE-2019-1653) позволяют без аутентификации обратиться к скриптам config.exp или export_debug_msg.exp с флагом "submitbkconfig" и получить содержимое файла конфигурации устройства, включая хэши паролей (возможен доступ по хэшу, без подбора исходного пароля), а также ключи к VPN и IPsec. При запросе через export_debug_msg.exp конфигурация отдаётся в зашифрованном виде, но для шифрования использован фиксированный пароль, присутствующий в прошивке ('NKDebug12#$%'). Третья уязвимость (CVE-2019-1652) позволяет выполнить любую команду в системном окружении устройства через манипуляции с параметрами в форме генерации сертификатов (например, вместо имени можно указать "'a\$(ping -c 4 192.168.1.2)'b").