Küçük işletmeler için yaygın olarak kullanılan DrayTek Vigor yönlendiricilerinde kritik, önceden doğrulanmış uzaktan kod yürütme (RCE) güvenlik açığı ortaya çıktı. Araştırmacılar, istismar edilirse, daha geniş ağa erişimin yanı sıra tam cihaz ele geçirmesine izin verebileceği konusunda uyarıyorlar.
Hata (CVE-2022-32548 olarak izlenir), CVSS ölçeğinde en yüksek güvenlik açığı-önem puanına sahiptir: 10 üzerinden 10. Bu, yalnızca bir ön kimlik doğrulama RCE olduğu değil, aynı zamanda göre, sosyal mühendislik veya kullanıcı etkileşimi olmadan bir cihazı tehlikeye atmak güvenlik açığı ifşası bugün Trellix’ten çıktı.
DrayTek yönlendiricileri, çalışanlara VPN erişimi sağlamak için genellikle küçük ve orta ölçekli (KOBİ’ler) tarafından kullanılır – pandemi başladığından bu yana çalışanların evden çalışma ortamlarına toplu göçü göz önüne alındığında artan bir ihtiyaç. ABD de dahil olmak üzere, Asya ve Avrupa genelinde ve özellikle Birleşik Krallık’ta geniş çapta konuşlandırılmışlardır.
Trellix’e göre (bir Shodan araştırması, yaklaşık 200.000 yönlendiricinin İnternete açık arayüzlere sahip olduğunu gösterdi), cihazın yönetim arayüzü İnternet’e dönük olacak şekilde yapılandırılırsa sıfır tıklama saldırısı mümkündür. Ancak öyle olmasa bile, LAN’a erişim gerektiren tek tıklamalı bir saldırı da mümkündür.
Şimdi Düzeltin: Hedef Noktasındaki KOBİ’ler
Şimdiye kadar, herhangi bir istismar belirtisi yok, ancak hata şimdi açıklandığından, bu muhtemelen değişecek, bu nedenle yöneticiler, cihazlarına özel üretici yazılımı güncellemelerini hemen uygulamalıdır.
DrayTek yönlendiricileri, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) şimdiye kadarki en ileri noktaya gitmesiyle, siber suçluların gözünün önündedir. uyarı vermek bu amaçla geçen Haziran Aslında, DrayTek RCE hatalarının Çin devlet destekli saldırganlar tarafından kullanılan en popülerler arasında olduğunu belirten ajans, 2020’den beri belirgin olan bir trendde bunları KOBİ’lerin peşine düşmek için kullanıyor.
Lumen ayrıca Haziran ayında ZuoRAT hakkında, küçük ofis/ev-ofis (SOHO) kullanıcıları arasında geniş bir kurulu tabana sahip, ömrünü tamamlamış bir cihaz olan Vigor 3900’deki bir hatayı kullanan bir tavsiye yayınladı.
Gelişmiş kalıcı tehditlerin (APT’ler) küçük balıkların peşine düşmesi mantıksız görünebilir, ancak Trellix 2020’de ABD Küçük İşletme İdaresi bildirdi sadece 20.000 büyük işletmeye kıyasla, ülkede 500’den az çalışanı olan 6 milyon küçük işletme var.
Trellix araştırmacıları, “Biz bu devasa saldırı yüzeyini unutabilirken, düşmanlarımız unutmadı” diyor. “İşin büyüklüğü veya türü ne olursa olsun bir hedef olduğunuzu anlamak zorunludur. Veriler, bu alanın yalnızca bir hedef değil, aynı zamanda daha olası bir hedef olduğunu göstermeye devam ediyor. SOHO ve KOBİ kullanıcılarının ağlarını anlamaları kritik önem taşıyor. , tüm satıcı yamalarında güncel kalın ve ihlalleri derhal kolluk kuvvetlerine bildirin.”
Nitekim, Mart ayında Barracuda Networks, küçük işletmelerin hedef olma olasılığı üç kat daha fazla siber suçlular tarafından daha büyük meslektaşlarından daha fazla.
Riskli Sonuçlar: Tam Cihaz Uzlaşması
Yeni hata durumunda, araştırmacılara göre, bir saldırı KOBİ’ler için oyunun kurallarını değiştiren bir dizi sonuca yol açabilir – bazı durumlarda şirket sonu sonuçları.
Bunlar, fidye yazılımı veya diğer kötü amaçlı yazılımları dağıtmak için ağa daha fazla dönmek için kullanılabilecek anahtarlar ve yönetici şifreleri gibi yönlendiricide depolanan hassas verilerin çalınmasını içerir. Casusluk odaklı saldırganlar, LAN’da bulunan ve normalde VPN erişimi gerektiren dahili kaynaklara da erişim sağlayabilir; DNS isteklerini ve kullanıcılardan yönlendirici aracılığıyla akan diğer şifrelenmemiş trafiği gözetlemek için ortadaki adam (MitM) saldırıları başlatın; ve yönlendiricinin herhangi bir bağlantı noktasından geçen verilerin paket yakalanmasını sağlamak. Diğer saldırı türleri arasında, dağıtılmış hizmet reddi (DDoS) veya kripto madenciliği amaçları için cihazın bir botnet’e eklenmesi yer alır.
Trellix’e göre, başarısız istismar girişimleri bile sorunlu olabilir, bu da cihazın yeniden başlatılmasına veya kullanıcıların LAN üzerindeki şirket kaynaklarına erişmesini engelleyen bir DoS durumuna neden olabilir.
CVE-2022-32548 ile Kaputun Altında
RCE hatası, özellikle aynı kod tabanını paylaşan Vigor 3910 ve diğer 28 DrayTek modelini etkiler (bir liste, Trellix danışma belgesine dahil edilmiştir). Araştırmacılar bunun, cihazların Web yönetim arayüzü (/cgi-bin/wlogin.cgi) için giriş sayfasındaki bir arabellek taşmasından kaynaklandığını belirtiyorlar.
Yazıya göre, “Bir saldırgan, giriş sayfasının aa ve ab alanları içinde base64 kodlu dizeler olarak özenle hazırlanmış bir kullanıcı adı ve/veya parola sağlayabilir”. “Bu, kodlanmış dizelerin boyut doğrulamasındaki bir mantık hatası nedeniyle arabellek taşmasının tetiklenmesine neden olur.”
gösterildiği gibi kavram kanıtı (PoC) istismar videosusaldırganlar yönlendirici işlevlerini uygulayan DrayOS işletim sistemini devralabilir.
Araştırmacılar, “Altta yatan bir Linux işletim sistemine (Vigor 3910 gibi) sahip cihazlarda, daha sonra temel işletim sistemine dönmek ve cihaz ve yerel ağ üzerinde güvenilir bir dayanak oluşturmak mümkün” diye açıklıyor. “Bir saldırganın DrayOS’un içindekileri daha iyi anlamasını gerektirdiğinden, DrayOS’u yalın bir işletim sistemi olarak çalıştıran cihazlardan ödün vermek daha zor olacaktır.”
SMB/SOHO Yönlendirici Saldırılarına Karşı Nasıl Korunulur
DrayTek yönlendiricileri kullanan işletmeler için saldırılara karşı koruma, yama uygulamak ve bellenimin her zaman güncel olduğundan emin olmakla başlar.
Bunun ötesinde, Trellix araştırmacıları, yöneticilerin kesinlikle gerekli olmadıkça yönetim arayüzünü asla İnternet’e maruz bırakmamalarını tavsiye ediyor; ve öyleyse, riski en aza indirmek için iki faktörlü kimlik doğrulama (2FA) ve IP kısıtlamaları uygulamalıdırlar.
Yama uygulandıktan sonra yöneticiler, bağlantı noktası yansıtma, DNS ayarları, yetkili VPN erişimi ve diğer ilgili ayarların yönetim arayüzünde değiştirilmediğini de doğrulamalıdır. Ayrıca, cihazların şifresini değiştirmeli ve yönlendiricide saklanan ve yamadan önce erişilmiş olabilecek tüm sırları iptal etmelidirler.
Hemen yama yapamayan şirketler için Trellix araştırmacıları, uzlaşma izlemenin bir öncelik olması gerektiğini söylüyor.
“Sömürü girişimleri, web yönetim arabirimi yönlendiricisindeki /cgi-bin/wlogin.cgi uç noktasına bir POST isteği aracılığıyla hatalı biçimlendirilmiş bir base64 dizesi gönderildiğinde günlüğe kaydedilerek/uyarılarak algılanabilir” diyorlar. “Base64 kodlu dizelerin POST isteğinin aa ve ab alanlarında bulunması bekleniyor. Bir saldırıyı belirten hatalı biçimlendirilmiş base64 dizeleri anormal derecede yüksek sayıda %3D dolguya sahip olacaktır. Üçün üzerindeki herhangi bir sayı şüpheli kabul edilmelidir.”