Istraživači su identifikovali četrnaest novih ranjivosti u DrayTek Vigor ruterima, uključujući kritičnu grešku u daljinskom izvršavanju koda sa ocenom 10 od 10 na CVSS skali ozbiljnosti.
DrayTek, tajvanski proizvođač mrežne opreme, nudi napredne rutere s VPN-om, firewall-om i upravljanjem propusnim opsegom za stambenu i poslovnu upotrebu. Široko raspoređeni u industrijama kao što su zdravstvo, maloprodaja i vlada, njegovi uređaji su glavne mete sajber kriminalaca.
Ove ranjivosti predstavljaju značajnu prijetnju, potencijalno omogućavajući sajber kriminalcima da preuzmu kontrolu nad pogođenim uređajima kako bi ukrali osjetljive podatke, implementirali ransomware i pokrenuli napade uskraćivanja usluge. Procjenjuje se da je trenutno u funkciji 785.000 DrayTek rutera, prvenstveno u poslovnim okruženjima.
Alarmantno, istraživanje Forescout Vedere Labs-a je otkrilo da preko 704.000 ovih uređaja ima svoje web sučelje izloženo javnom internetu, što ih čini posebno ranjivim na eksploataciju.
Uprkos upozorenjima iz DrayTek-a da bi ovi kontrolni paneli trebali biti dostupni samo sa lokalnih mreža, ova izloženost ostaje značajan rizik.
Tehnički detalji kritičnih nedostataka
Ranjivosti nisu ostale nezapažene od strane hakera. DrayTek ruteri su stalno bili na meti grupa prijetnji, posebno kineskih naprednih trajnih prijetnji (APT).
Nedavni izvještaji FBI-a pokazuju da su špijuni kineske vlade iskoristili tri ranjivosti u DrayTek ruterima kako bi stvorili botnet koji se sastoji od 260.000 uređaja. DrayTek je izdao zakrpe za svih četrnaest CVE-ova na podržanim i na modelima na kraju životnog vijeka.
Među novootkrivenim ranjivostima su dva posebno ozbiljna problema:
- CVE-2024-41592 : Ova ranjivost prekoračenja bafera u funkciji GetCGI() web korisničkog interfejsa omogućava neautorizovanim korisnicima da izvrše daljinski kod ili izazovu uskraćivanje usluge. Dobio je maksimalnu ocjenu ozbiljnosti.
- CVE-2024-41 585 : Ova greška u ubrizgavanju komandi OS-a utječe na binarni program recvCmd u firmveru, omogućavajući napade ubrizgavanjem komande sa gostujućeg OS-a na OS domaćina. Ocenjen je sa CVSS ocjenom 9,1.
Ove ranjivosti se mogu zajedno iskoristiti kako bi se dobio udaljeni root pristup glavnom operativnom sistemu pogođenih uređaja.
Preporučeni koraci za ublažavanje
Kako bi ublažili ove rizike, korisnicima se savjetuje da:
- Onemogućite mogućnosti daljinskog pristupa osim ako je apsolutno neophodno.
- Implementirajte dvofaktorsku autentifikaciju i liste kontrole pristupa za daljinski pristup ako je potrebno.
- Upotrijebite segmentaciju mreže i jake politike lozinki.
- Redovno nadzirite uređaje na neobične aktivnosti.
Ranjivosti utiču na 24 modela, uključujući Vigor1000B, Vigor2962, Vigor3910 i druge . Neki od ovih modela podržavaju velike brzine preuzimanja/upload-a i imaju robusne hardverske mogućnosti, što ih čini atraktivnim metama za korištenje kao serveri za komandu i kontrolu.
Otkrivanje ovih ranjivosti naglašava kritičnu potrebu preduzeća da osiguraju svoju mrežnu infrastrukturu od sve sofisticiranijih sajber prijetnji. Poduzimanjem proaktivnih mjera i primjenom dostupnih zakrpa, organizacije se mogu bolje zaštititi od potencijalne eksploatacije.
Izvor: CyberSecurityNews