Kiberjinoyatchilar Cisco routerlaridagi zaiflikdan faol foydalanmoqdalar.
Hujumlar paytida, tajovuzkorlar yamoq chiqarilgandan keyin chop etilgan PoC kodidan foydalanadilar.
Mashhur Cisco SOHO router modellaridagi zaiflik haqidagi ma’lumotlar e’lon qilinganidan va namoyish ekspluatatsiyasi chiqarilganidan atigi ikki kun o’tgach, kiberjinoyatchilar zaif qurilmalarga faol hujum qila boshladilar. Ko’rib chiqilayotgan zaiflik CVE-2019-1663 bo’lib, u zaif qurilmaning veb-interfeysi orqali istalgan brauzerda kodni o’zboshimchalik bilan bajarishga imkon beradi. Muammo Cisco RV110W Wireless-N VPN xavfsizlik devori, Cisco RV130W Wireless-N ko’p funksiyali VPN routeri va Cisco RV215W Wireless-N VPN routeriga ta’sir qiladi.
Rapid7 ma’lumotlariga ko’ra, hozirda 12 000 dan ortiq zaif qurilmalarga onlayn kirish mumkin, ularning aksariyati Qo’shma Shtatlar, Kanada, Hindiston, Polsha, Argentina va Ruminiyada joylashgan. Bad Packets ma’lumotlariga ko’ra, zaif qurilmalarni faol skanerlash shu yilning 1 martida boshlangan. Hujumchilar o’z hujumlarida Pen Test Partners tomonidan 28 fevralda nashr etilgan kontseptsiyani isbotlash kodidan foydalanmoqdalar.
Cisco allaqachon zaiflikni bartaraf etish uchun yamoq chiqardi. Foydalanuvchilarga yangilanishni iloji boricha tezroq o’rnatish tavsiya etiladi. Agar qurilmalar allaqachon buzilgan bo’lsa, router dasturiy ta’minotini yangilash talab qilinadi.
Ushbu yangi hujumlar kontseptsiyani isbotlash kodini nashr etish faqat tajovuzkorlar qo’lida ekanligini yana bir bor ko’rsatmoqda. Shunga o’xshash vaziyat ilgari Drupal asosidagi veb-saytlar atrofida ham sodir bo’lgan: Drupal yadrosidagi CVE-2019-6340 zaifligi uchun yamoq chiqarilganidan uch kun o’tgach, tajovuzkorlar turli resurslarda mavjud bo’lgan kontseptsiyani isbotlash kodidan foydalanib, zaif saytlarga CoinIMP kriptominerini faol ravishda kiritishni boshladilar.
