Βελτιώσεις ασφάλειας σε εκατοντάδες χιλιάδες δρομολογητές από την DrayTek

Η DrayTek κυκλοφόρησε ενημερώσεις ασφαλείας για πολλά μοντέλα δρομολογητών για την αντιμετώπιση 14 ευπαθειών διαφορετικής σοβαρότητας, συμπεριλαμβανομένου ενός ελαττώματος απομακρυσμένης εκτέλεσης κώδικα που έλαβε τη μέγιστη βαθμολογία CVSS 10.

Τα ελαττώματα, τα οποία ανακάλυψε η Forescout Research – Vedere Labs, επηρεάζουν τόσο τα μοντέλα που υποστηρίζονται ενεργά όσο και τα μοντέλα που έχουν φτάσει στο τέλος της ζωής τους. Ωστόσο, λόγω της σοβαρότητας, η DrayTek έχει παράσχει επιδιορθώσεις για δρομολογητές και στις δύο κατηγορίες.

Οι ερευνητές προειδοποίησαν ότι οι σαρώσεις τους αποκάλυψαν ότι περίπου 785.000 δρομολογητές DrayTek μπορεί να είναι ευάλωτοι στο σύνολο ελαττωμάτων που ανακαλύφθηκαν πρόσφατα, με πάνω από 704.500 να έχουν τη διεπαφή ιστού τους εκτεθειμένη στο διαδίκτυο.

Λεπτομέρειες ευπάθειας

Τα περισσότερα τρωτά σημεία που ανακαλύφθηκαν από τα εργαστήρια Vedere είναι μεσαίας σοβαρότητας υπερχείλιση buffer και προβλήματα δέσμης ενεργειών μεταξύ τοποθεσιών που υπαγορεύονται από πολλές απαιτήσεις εκμετάλλευσης.

Ωστόσο, πέντε από τα ελαττώματα ενέχουν σημαντικούς κινδύνους, που απαιτούν άμεση προσοχή. Αυτά συνοψίζονται ως εξής:

• FSCT-2024-0006: Μια ευπάθεια υπερχείλισης buffer στη συνάρτηση “GetCGI()”, υπεύθυνη για το χειρισμό δεδομένων αιτήματος HTTP, η οποία μπορεί να οδηγήσει σε άρνηση υπηρεσίας (DoS) ή απομακρυσμένη εκτέλεση κώδικα (RCE). (Βαθμολογία CVSS: 10,0)
• FSCT-2024-0007: Έγχυση εντολών στην επικοινωνία λειτουργικού συστήματος – Το δυαδικό αρχείο “recvCmd” που χρησιμοποιείται για την επικοινωνία μεταξύ του κεντρικού και του επισκέπτη λειτουργικού συστήματος είναι ευάλωτο σε επιθέσεις ένεσης εντολών, επιτρέποντας ενδεχομένως τη διαφυγή VM. (Βαθμολογία CVSS: 9,1)
• FSCT-2024-0014: Το backend του διακομιστή ιστού χρησιμοποιεί μια στατική συμβολοσειρά για να δημιουργήσει τη γεννήτρια ψευδοτυχαίων αριθμών (PRNG) στο OpenSSL για συνδέσεις TLS, κάτι που θα μπορούσε να οδηγήσει σε αποκάλυψη πληροφοριών και επιθέσεις man-in-the-middle (MiTM). (Βαθμολογία CVSS: 7,6)
• FSCT-2024-0001: Η χρήση πανομοιότυπων διαπιστευτηρίων διαχειριστή σε ολόκληρο το σύστημα μπορεί να οδηγήσει σε πλήρη παραβίαση του συστήματος, εάν αποκτηθούν αυτά τα διαπιστευτήρια. (Βαθμολογία CVSS: 7,5)
• FSCT-2024-0002: Μια σελίδα HTML στη διεπαφή χρήστη Ιστού χειρίζεται εσφαλμένα την εισαγωγή, επιτρέποντας την ανακλώμενη ευπάθεια XSS. (Βαθμολογία CVSS: 7,5)

Μέχρι στιγμής, δεν έχουν υπάρξει αναφορές για ενεργή εκμετάλλευση αυτών των ελαττωμάτων και η δημοσίευση αναλυτικών λεπτομερειών έχει απορριφθεί για να δοθεί στους χρήστες αρκετός χρόνος για να εφαρμόσουν τις ενημερώσεις ασφαλείας.

Τα παραπάνω ελαττώματα επηρεάζουν 24 μοντέλα δρομολογητών, εκ των οποίων τα 11 έχουν φθάσει στο τέλος της ζωής τους, αλλά έχουν λάβει ακόμη επιδιορθώσεις.

Τα επηρεαζόμενα μοντέλα και οι στοχευόμενες εκδόσεις υλικολογισμικού προς αναβάθμιση φαίνονται στον παρακάτω πίνακα.

Οι χρήστες μπορούν να κάνουν λήψη του πιο πρόσφατου υλικολογισμικού για το μοντέλο της συσκευής τους από το DrayTek’s επίσημη πύλη λήψης.

Περισσότερες από 700.000 συσκευές DrayTex εκτίθενται στο διαδίκτυο

Η Verdere Labs αναφέρει ότι βρήκε ότι περισσότερες από 704.500 συσκευές έχουν τη διεπαφή χρήστη Web DrayTek Vigor εκτεθειμένη στο διαδίκτυο, αν και θα πρέπει να είναι προσβάσιμη μόνο από τοπικό δίκτυο.

Σχεδόν οι μισές από τις συσκευές που βρίσκονται υπό την άμεση ορατότητα του Forescout βρίσκονται στις Ηνωμένες Πολιτείες, αλλά τα αποτελέσματα του Shodan δείχνουν σημαντικό αριθμό στο Ηνωμένο Βασίλειο, το Βιετνάμ, την Ολλανδία και την Αυστραλία.

Εκτός από την εφαρμογή των πιο πρόσφατων ενημερώσεων υλικολογισμικού, συνιστάται στους χρήστες να προβούν στις ακόλουθες ενέργειες:

• Απενεργοποιήστε την απομακρυσμένη πρόσβαση εάν δεν χρειάζεται και χρησιμοποιήστε μια λίστα ελέγχου πρόσβασης και έλεγχο ταυτότητας δύο παραγόντων όταν είναι ενεργή.
• Ελέγξτε τις ρυθμίσεις για αυθαίρετες αλλαγές ή την προσθήκη χρηστών διαχειριστή ή προφίλ απομακρυσμένης πρόσβασης.
• Απενεργοποιήστε τις συνδέσεις SSL VPN μέσω της θύρας 443.
• Ενεργοποιήστε την καταγραφή syslog για παρακολούθηση ύποπτων συμβάντων.
• Ενεργοποιήστε την αυτόματη αναβάθμιση σε σελίδες HTTP στο πρόγραμμα περιήγησής σας.

Όλοι οι χρήστες του DrayTek θα πρέπει να επιβεβαιώσουν ότι η κονσόλα απομακρυσμένης πρόσβασης της συσκευής τους είναι απενεργοποιημένη, καθώς τα exploits και οι επιθέσεις ωμής βίας στοχεύουν συνήθως αυτές τις υπηρεσίες.