Sekoia گفت که عوامل تهدید ناشناس اقدام به استقرار یک دربپشتی با استفاده از آسیبپذیری CVE-2023-20118 (امتیاز CVSS: 6.5) کردند که بر روترهای Cisco Small Business RV016، RV042، RV042G، RV082، RV320 و RV325 تأثیر میگذارد و میتواند منجر به اجرای دستور دلخواه در دستگاههای آسیبپذیر شود. این نقص به دلیل رسیدن روترها به وضعیت پایان عمر (EoL) بدون وصله باقی ماند. Cisco به عنوان راه حل در اوایل سال 2023 توصیه کرد که این نقص را میتوان با غیرفعالسازی مدیریت از راه دور و مسدودسازی دسترسی به پورتهای 443 و 60443 کاهش داد. این آسیبپذیری برای ارائه ایمپلنتی مستند نشده، یک درب پشتی TLS که توانایی گوش دادن به اتصالات کلاینت ورودی و اجرای دستورات را در خود جای داده، استفاده شده است. درب پشتی با استفاده از یک شِلاسکریپت به نام “q” راهاندازی میشود که از طریق FTP بازیابی شده و پس از اکسپلویت موفقیتآمیز از آسیبپذیری اجرا میشود.
https://thehackernews.com/2025/02/polaredge-botnet-exploits-cisco-and.html
