Pek çok işletmenin ve devlet kurumunun kullandığı modeller de dahil olmak üzere potansiyel olarak on binlerce DrayTek yönlendiricisi, yeni keşfedilen 14 ürün yazılımı güvenlik açığı nedeniyle yüksek saldırı riskiyle karşı karşıyadır.

Kusurlardan bazıları hizmet reddi ve uzaktan kod yürütme (RCE) saldırılarına olanak tanırken, diğerleri tehdit aktörlerinin güvenliği ihlal edilmiş web sitelerini ziyaret eden kullanıcıların web sayfalarına ve tarayıcılarına kötü amaçlı kod enjekte etmesine ve çalıştırmasına izin veriyor.

Çok Çeşitli Kusurlar

Yeni kusurlardan ikisi kritiktir, yani acilen ilgilenilmeleri gerekir: DrayTek yönlendiricilerinin Web kullanıcı arayüzü bileşeninde maksimum önem derecesine sahip bir RCE hatası olan CVE-2024-41592 ve bir işletim sistemi komut yürütme/VM kaçış güvenlik açığı olan CVE-2024-41585 CVSS ciddiyet puanı 9,1’dir. Güvenlik açıklarından dokuzu orta önemde tehditler, üçü ise nispeten düşük önemdeki kusurlardır. Güvenlik açıkları 24 DrayTek yönlendirici modelinde mevcut.

Forescout’un Vedere Laboratuarlarındaki araştırmacılar, DrayTek yönlendiricileri üzerinde yapılan bir araştırma sırasında, güvenlik sağlayıcısının yönlendiricileri hedef alan tutarlı saldırı faaliyeti işaretleri ve teknolojideki son zamanlarda ortaya çıkan bir dizi güvenlik açığı olarak tanımladığı durum nedeniyle güvenlik açıklarını keşfetti.

Çoğunlukla Avrupa ve Asya’da olmak üzere 704.000’den fazla İnternet’e açık DrayTek yönlendirici buldular ve bunların çoğu muhtemelen yeni keşfedilen güvenlik açıklarını içeriyor.

Forescout araştırmacıları, araştırmalarından elde edilen bulguları özetleyen bir raporda “Bu yönlendiricilerin %75’i ticari ortamlarda kullanıldığından, iş sürekliliği ve itibar açısından ciddi sonuçlar doğurur” uyarısında bulundu. Dray:Kırılma. “Başarılı bir saldırı, ciddi kesintilere, müşteri güveninin kaybolmasına ve düzenleyici cezalara yol açabilir; bunların hepsi doğrudan CISO’nun omuzlarına düşer.”

Yama Yeterli Olmayabilir

DrayTek, farklı ürün yazılımı güncellemeleri aracılığıyla tüm güvenlik açıkları için yamalar yayınladı. Ancak Forescout Vedere Labs güvenlik araştırması başkanı Daniel dos Santos, kuruluşların yalnızca yamaları uygulamakla yetinmemesi gerektiğini söylüyor. Gelecekte DrayTek yönlendiricilerindeki benzer güvenlik açıklarından kaynaklanan riski azaltmak için güvenlik ekiplerinin ayrıca uzun vadeli hafifletme önlemlerini proaktif olarak uygulaması gerektiğini de ekliyor. “Raporumuz, bu yönlendiricileri etkileyen kritik güvenlik açıklarının uzun bir geçmişi olduğunu ve çoğunun botnetler ve diğer kötü amaçlı yazılımlar tarafından silah haline getirildiğini gösteriyor” diyor. “Proaktif bir güvenlik yaklaşımı benimsemek, yeni güvenlik açıkları bulunsa bile kuruluşa yönelik riskin düşük olmasını sağlar.”

Dos Santos, saldırganların Shodan veya Censys gibi arama motorlarını kullanarak yeni güvenlik açıklarını içeren DrayTek yönlendiricilerini bulmayı nispeten kolay bulacağını söylüyor. Ancak “ayrıntılı bir çalışma kavramı kanıtı sunmadığımız için yalnızca güvenlik açıklarının genel tanımını sağladığımız için istismar daha zordur” diye ekliyor. “Başka bir araştırmacı veya saldırgan, çalışan bir istismar oluşturup yayınlarsa, geçmişte diğer DrayTek CVE’lerinde olduğu gibi kitlesel istismar gerçekleşebilir.”

DrayTek ve Forescout’un önerdiği hafifletme önlemleri arasında gerekmediği takdirde uzaktan erişimin devre dışı bırakılması, yetkisiz uzaktan erişim profillerinin eklenmediğinin doğrulanması, sistem günlüğünün etkinleştirilmesi ve yalnızca HTTPS gibi güvenli protokollerin kullanılması yer almaktadır. Forescout ayrıca DrayTek müşterilerinin ağ görünürlüğünün uygun olmasını sağlamalarını, varsayılan yapılandırmaları değiştirmelerini, kullanım ömrü sona eren cihazları değiştirmelerini ve ağlarını bölümlere ayırmalarını önerir.

Tavsiye, tehdit aktörlerinin faaliyetlerinin arttığına dair işaretlerin olduğu bir dönemde geldi. ulus devlet aktörleri — DrayTek’in ve Fortinet, F5, QNAP, Ivanti, Juniper ve Zyxel dahil olmak üzere çeşitli diğer satıcıların yönlendiricileri ve diğer ağ cihazlarındaki güvenlik açıklarını hedefliyor.

Eylül ayında yapılan bir danışma belgesinde FBI, ABD Ulusal Güvenlik Ajansı ve Siber Ulusal Görev Gücü Çinli tehdit aktörlerine karşı uyarıldı Yaygın botnet operasyonlarında bu tür yönlendiricilerin ve Nesnelerin İnterneti cihazlarının tehlikeye atılması. Danışmanlık belgesinde, “Aktörler daha sonra dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirirken veya hedeflenen ABD ağlarını tehlikeye atarken kimliklerini gizlemek için botnet’i bir proxy olarak kullanabilirler” uyarısında bulunuldu. Danışmanlıktan iki hafta önce ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, 2021’den itibaren iki DrayTek güvenlik açığını ekledi (CVE-2021-20123 Ve CVE-2021-20124) aktif istismar faaliyetine atıfta bulunarak bilinen istismar edilen güvenlik açıkları listesine ekledi. 2022 yılında, DrayTek’in Vigor marka yönlendiricilerindeki kritik bir RCE, çok sayıda Sıfır tıklama saldırıları riskiyle karşı karşıya olan küçük ve orta ölçekli işletmeler.

Forescout, son yıllarda DrayTek ürünlerindeki nispeten yüksek sayıdaki kritik güvenlik açıklarının başka bir endişe kaynağı olduğunu, çünkü birçok kuruluşun bu güvenlik açıklarını yeterince hızlı bir şekilde ele almadığını söyledi. Güvenlik sağlayıcısının raporu, 2020’ye kadar uzanan 18 güvenlik açığını vurguladı; bunların çoğu, CVSS ölçeğinde neredeyse maksimum 9,8 önem derecesine sahip. Ancak Forescout’un keşfettiği 704.000’den fazla DrayTek cihazının %38’inde iki yıl önce açıklanan güvenlik açıklarına yönelik yamalar bulunmuyor.

Dos Santos, “Birçok kuruluş, yönlendiriciler gibi yönetilmeyen cihazlara yönelik doğru düzeyde görünürlüğe sahip değil, bu nedenle ağlarındaki bu sorunlardan habersiz olabilirler” diyor. “Yazılım sürümleri hakkında bilgi sağlamak ve yamaları uygulamak için uç nokta telemetrisine ve güvenlik aracılarına güveniyorlar. Ancak aracıları desteklemeyen ürün yazılımı söz konusu olduğunda, ağlarında güvenlik açıklarının bulunduğunu bilmiyor olabilirler veya düzeltmeleri manuel olarak uygulamamış olabilirler. yamalar.”



siber-1