Une faille de gravité impactant les routeurs cellulaires industriels de Vue kilométrique pourrait avoir été activement exploité dans des attaques réelles, révèlent de nouvelles découvertes de VulnCheck.
Suivi comme CVE-2023-43261 (score CVSS : 7,5), la vulnérabilité a été décrite comme un cas de divulgation d’informations affectant les routeurs UR5X, UR32L, UR32, UR35 et UR41 antérieurs à la version 35.3.0.7, qui pourrait également permettre aux attaquants d’accéder à des journaux tels que httpd.log. comme d’autres informations d’identification sensibles.
En conséquence, cela pourrait permettre à des attaquants distants et non authentifiés d’obtenir un accès non autorisé à l’interface Web, rendant ainsi possible la configuration de serveurs VPN et même la suppression des protections par pare-feu.
« Ce vulnérabilité devient encore plus grave car certains routeurs permettent l’envoi et la réception de messages SMS », a déclaré le chercheur en sécurité Bipin Jitiya, qui a découvert le problème. dit plus tôt ce mois-ci. « Un attaquant pourrait exploiter cette fonctionnalité pour mener des activités frauduleuses, causant potentiellement un préjudice financier au propriétaire du routeur. »
Aujourd’hui, selon Jacob Baines de VulnCheck, il existe des preuves que la faille pourrait avoir été exploitée à petite échelle dans la nature.
« Nous avons observé 5.61.39[.]232 tentant de se connecter à six systèmes le 2 octobre 2023″, Baines dit. « Les adresses IP des systèmes concernés sont géolocalisées en France, en Lituanie et en Norvège. Elles ne semblent pas liées et utilisent toutes des informations d’identification différentes, qui ne sont pas celles par défaut. »
Sur quatre des six machines, l’auteur de la menace s’est authentifié avec succès dès la première tentative. Sur le cinquième système, la connexion a réussi la deuxième fois et sur le sixième, l’authentification a abouti à un échec.
Les informations d’identification utilisées pour mener à bien l’attaque ont été extraites du httpd.log, faisant allusion à la militarisation du CVE-2023-43261. Il n’y a aucune preuve d’autres actions malveillantes, bien qu’il semble que l’acteur inconnu ait vérifié les paramètres et les pages d’état.
Selon VulnCheck, bien qu’il existe environ 5 500 routeurs Milesight exposés à Internet, seulement 5 % environ exécutent des versions de micrologiciel vulnérables et sont donc sensibles à la faille.
« Si vous disposez d’un routeur cellulaire industriel Milesight, il est probablement sage de supposer que toutes les informations d’identification du système ont été compromises et d’en générer simplement de nouvelles, et de vous assurer qu’aucune interface n’est accessible via Internet », a déclaré Baines.
Six failles découvertes dans les serveurs Titan MFT et Titan SFTP
La divulgation intervient alors que Rapid7 a détaillé plusieurs failles de sécurité dans les serveurs Titan MFT et Titan SFTP de South River Technologies qui, si elles étaient exploitées, pourraient permettre un accès superutilisateur à distance aux hôtes concernés.
La liste des vulnérabilités est la suivante –
- CVE-2023-45685 – Exécution de code à distance authentifié via « Zip Slip »
- CVE-2023-45686 – Exécution de code à distance authentifié via WebDAV Path Traversal
- CVE-2023-45687 – Correction de session sur le serveur d’administration distant
- CVE-2023-45688 – Divulgation d’informations via Path Traversal sur FTP
- CVE-2023-45689 – Divulgation d’informations via Path Traversal dans l’interface d’administration
- CVE-2023-45690 – Fuite d’informations via une base de données lisible dans le monde entier + journaux
« L’exploitation réussie de plusieurs de ces problèmes permet à un attaquant d’exécuter du code à distance en tant qu’utilisateur root ou SYSTEM », explique la société. dit. « Cependant, tous les problèmes surviennent après l’authentification et nécessitent des configurations autres que celles par défaut. Il est donc peu probable qu’ils soient exploités à grande échelle. »