Новые уязвимости
Эксперты из компании Forescout обнаружили сразу 14 уязвимостей в маршрутизаторах производства DrayTek. Об этом в начале октября 2024 г. пишет издание Forescout. Это может позволить злоумышленникам получить полный доступ к устройствам и использовать их как точку входа в сети крупных предприятий и частных домовладений.
Некоторые из них позволяют проводить атаки типа «отказ в обслуживании» и «удаленное выполнение кода» (RCE), а другие - внедрять и исполнять вредоносный код на веб-страницах и в браузерах пользователей, посещающих взломанные веб-сайты.
Два из новых дефектов являются критическими, то есть требуют немедленного внимания. CVE-2024-41592 - ошибка RCE максимальной степени тяжести в компоненте Web UI маршрутизаторов DrayTek и CVE-2024-41585 – чревата внедрением команд операционной системы (ОС) в бинарный файл recvCmd, который используется для взаимодействия между хостом и гостевой ОС с баллом серьезности CVSS 9.1. Девять из уязвимостей относятся к угрозам средней тяжести, а три - к дефектам относительно низкой тяжести. Уязвимости присутствуют в 24 моделях маршрутизаторов DrayTek.
Исследователи из лаборатории Vedere Labs компании Forescout обнаружили уязвимости в ходе изучения маршрутизаторов DrayTek, что было вызвано тем, что поставщик систем безопасности назвал признаки постоянной активности атак на маршрутизаторы, а также недавним появлением уязвимостей в этой технологии. Было обнаружено более 704 тыс. маршрутизаторов DrayTek с выходом в интернет в основном в Европе и Азии и многие из которых, вероятно, содержат недавно обнаруженные уязвимости.
«Поскольку 75% этих маршрутизаторов используются в коммерческих организациях, последствия для непрерывности бизнеса и репутации весьма серьезны», - предупреждают исследователи Forescout в своем отчете, в котором приводятся краткие сведения.
Патчей может быть недостаточно
Со слов руководителя отдела безопасности Forescout Vedere Labs Даниэля дос Сантоса (Daniel dos Santos), компания DrayTek выпустила исправления для всех уязвимостей с помощью различных обновлений прошивки. Однако организациям не стоит ограничиваться только применением патчей. По его словам, чтобы снизить риск возникновения подобных уязвимостей в маршрутизаторах DrayTek в будущем, службам безопасности следует также активно внедрять долгосрочные меры по их устранению. Наш отчет показывает, что существует долгая история критических уязвимостей, затрагивающих эти маршрутизаторы, и многие из них были использованы ботнетами и другими вредоносными программами.
По словам дос Сантоса, злоумышленникам, скорее всего, будет относительно легко найти маршрутизаторы DrayTek, содержащие новые уязвимости, с помощью поисковых систем, таких как Shodan или Censys. Но эксплуатация будет сложнее, потому что мы не предоставили подробного рабочего доказательства концепции, а только общее описание уязвимостей, добавляет он. Если другой исследователь или хакер создаст и опубликует рабочий эксплойт, то может произойти массовая эксплуатация - как это уже случалось с другими CVE DrayTek в прошлом.
Среди мер, рекомендованных DrayTek и Forescout, отключение удаленного доступа, если он не нужен, проверка отсутствия несанкционированных профилей удаленного доступа, включение системного журнала и использование только безопасных протоколов, таких как HTTPS. Forescout также рекомендует клиентам DrayTek обеспечить надлежащую видимость сети, изменить конфигурацию по умолчанию, заменить устаревшие устройства и сегментировать свои сети.
Популярная цель ИТ-атак
Эти рекомендации появились на фоне признаков растущей активности угроз и в том числе со стороны государственных субъектов, которые направлены на уязвимости в маршрутизаторах и других сетевых устройствах от DrayTek и ряда других производителей, включая Fortinet, F5, QNAP, Ivanti, Juniper и Zyxel.
В сентябре этого года Федеральное бюро расследований (ФБР), Агентство национальной безопасности (АНБ) США и Национальная кибернетическая миссия (CNMF) предупредили, что китайские угрожающие субъекты компрометируют такие маршрутизаторы и устройства интернета вещей (IoT) в ходе широкомасштабных операций с ботнетами. Затем они могут использовать бот-сеть в качестве прокси для сокрытия своей личности при проведении распределенных кибератак типа «отказ в обслуживании» (DDoS) или компрометации целевых американских сетей. За две недели до этого предупреждения Агентство по кибербезопасности и защите инфраструктуры США добавило две уязвимости DrayTek из 2021 г. (CVE-2021-20123 и CVE-2021-20124) в список известных эксплуатируемых уязвимостей, ссылаясь на активную деятельность по их эксплуатации. В 2022 г. критическая RCE в маршрутизаторах Vigor компании DrayTek подвергла множество малых и средних предприятий риску атак «нулевого клика».
Относительно большое количество критических уязвимостей в продуктах DrayTek в последние годы вызывает еще одну обеспокоенность, поскольку многие организации, похоже, не устраняют их достаточно быстро, отмечает Forescout. В отчете поставщика систем безопасности говорится о 18 уязвимостях, относящихся к 2020 г., большинство из которых имеют почти максимальный балл серьезности 9,8 по шкале CVSS. При этом 38% из более чем 704 тыс. устройств DrayTek, обнаруженных Forescout, не имели исправлений для раскрытых уязвимостей двухлетней давности.
По словам специалистов по информационной безопасности (ИБ), многие организации не имеют должного уровня видимости неуправляемых устройств, таких как маршрутизаторы, поэтому они могут не знать о подобных проблемах в своих сетях. Компании скорей полагаются на телеметрию конечных точек и агентов безопасности, которые предоставляют информацию о версиях программного обеспечения (ПО) и применяют исправления. Но когда дело доходит до встроенного ПО, которое не поддерживает агентов, они могут не знать о существовании уязвимостей в своей сети или не применять исправления вручную.