Una falla de gravedad que afecta a los enrutadores celulares industriales de Vista de millas puede haber sido explotado activamente en ataques del mundo real, revelan nuevos hallazgos de VulnCheck.
Seguimiento como CVE-2023-43261 (Puntuación CVSS: 7,5), la vulnerabilidad se ha descrito como un caso de divulgación de información que afecta a los enrutadores UR5X, UR32L, UR32, UR35 y UR41 anteriores a la versión 35.3.0.7 y que podría permitir a los atacantes acceder también a registros como httpd.log. como otras credenciales confidenciales.
Como resultado, esto podría permitir que atacantes remotos y no autenticados obtengan acceso no autorizado a la interfaz web, permitiendo así configurar servidores VPN e incluso eliminar las protecciones de firewall.
«Este vulnerabilidad se vuelve aún más grave ya que algunos enrutadores permiten enviar y recibir mensajes SMS», dijo el investigador de seguridad Bipin Jitiya, quien descubrió el problema. dicho a principios de este mes. «Un atacante podría aprovechar esta funcionalidad para actividades fraudulentas, lo que podría causar daños financieros al propietario del enrutador».
Ahora, según Jacob Baines de VulnCheck, hay evidencia de que la falla puede haber sido explotada a pequeña escala en la naturaleza.
«Nosotros observamos 5.61.39[.]232 intentando iniciar sesión en seis sistemas el 2 de octubre de 2023″, Baines dicho. «Las direcciones IP de los sistemas afectados se geolocalizan en Francia, Lituania y Noruega. No parecen estar relacionadas y todas utilizan credenciales diferentes y no predeterminadas».
En cuatro de las seis máquinas, se dice que el actor de la amenaza se autenticó exitosamente en el primer intento. En el quinto sistema, el inicio de sesión fue exitoso la segunda vez y en el sexto, la autenticación resultó fallida.
Las credenciales utilizadas para llevar a cabo el ataque se extrajeron de httpd.log, en alusión a la utilización de CVE-2023-43261 como arma. No hay evidencia de más acciones maliciosas, aunque parece que el actor desconocido revisó la configuración y las páginas de estado.
Según VulnCheck, si bien hay aproximadamente 5.500 enrutadores Milesight expuestos a Internet, solo alrededor del 5% ejecutan versiones de firmware vulnerables y, por lo tanto, son susceptibles a la falla.
«Si tiene un enrutador celular industrial Milesight, probablemente sea prudente asumir que todas las credenciales del sistema se han visto comprometidas y simplemente generar otras nuevas y asegurarse de que no se pueda acceder a ninguna interfaz a través de Internet», dijo Baines.
Seis fallas descubiertas en los servidores Titan MFT y Titan SFTP
La divulgación se produce cuando Rapid7 detalló varias fallas de seguridad en los servidores Titan MFT y Titan SFTP de South River Technologies que, si se explotan, podrían permitir el acceso remoto de superusuario a los hosts afectados.
La lista de vulnerabilidades es la siguiente:
- CVE-2023-45685 – Ejecución remota de código autenticado mediante «Zip Slip»
- CVE-2023-45686 – Ejecución remota de código autenticado a través de WebDAV Path Traversal
- CVE-2023-45687 – Fijación de sesión en el servidor de administración remota
- CVE-2023-45688 – Divulgación de información a través de Path Traversal en FTP
- CVE-2023-45689 – Divulgación de información a través de Path Traversal en la interfaz de administración
- CVE-2023-45690 – Fuga de información a través de una base de datos legible en todo el mundo + registros
«La explotación exitosa de varios de estos problemas otorga al atacante la ejecución remota de código como usuario raíz o del SISTEMA», dijo la compañía. dicho. «Sin embargo, todos los problemas son posteriores a la autenticación y requieren configuraciones no predeterminadas y, por lo tanto, es poco probable que se produzca una explotación a gran escala».