Beveiligingsupdates die Cisco eind januari voor de Small Business RV320 en RV325 Dual Gigabit WAN VPN Routers uitbracht zijn onvolledig, waardoor duizenden routers nog steeds kwetsbaar voor aanvallen zijn, zo heeft de netwerkgigant bevestigd. Nieuwe updates zijn nog niet beschikbaar.

Via één van de kwetsbaarheden kan een aanvaller op afstand de configuratie-instellingen uitlezen, waaronder het gehashte wachtwoord van de beheerder. De inloggegevens in combinatie met een andere kwetsbaarheid maken het vervolgens mogelijk om willekeurige commando’s met rootrechten uit te voeren. Een aantal dagen na het uitkomen van de updates zochten aanvallers actief naar kwetsbare routers.

De beveiligingsupdates zijn echter “onvolledig”, aldus Cisco. De oorspronkelijke kwetsbaarheden werden gevonden door onderzoekers van RedTeam Pentesting. Nadat Cisco de oorspronkelijke beveiligingsupdates had uitgebracht ontdekten de onderzoekers dat het probleem onvoldoende door het bedrijf was verholpen. De oplossing die Cisco had toegepast was het blacklisten van de “curl” user agent in de firmware. Curl is een commandlinetool die door online scanners wordt gebruikt. Mogelijk dacht Cisco op deze manier dat kwetsbare routers niet gevonden zouden worden.

RedTeam Pentesting waarschuwde Cisco op 8 februari dat de patches onvolledig waren, gevolgd door een volledig beschrijving van het probleem op 15 februari. De onderzoekers lieten weten dat ze de nieuwe informatie over de lekken op 27 maart openbaar zouden maken. Op 25 maart werd Cisco gevraagd wanneer de nieuwe beveiligingsupdates zouden verschijnen. De netwerkgigant vroeg de onderzoekers echter om het openbaar maken van de kwetsbaarheden uit te stellen. Dit weigerden de onderzoekers, waarop gisteren de informatie online verscheen.

Cisco heeft de oorspronkelijke beveiligingsbulletins nu bijgewerkt en bevestigt dat de eerste updates onvolledig waren. Wanneer er nieuwe updates zullen verschijnen wordt niet vermeld. Onderzoeker Troy Mursch van Bad Packets Report laat via Twitter weten dat nog bijna 9.000 Cisco RV-routers op internet hun configuratiebestand lekken, waaronder de wachtwoordhashes.