Uma falha grave que afeta os roteadores industriais de celular da Milesight pode ter sido ativamente explorada em ataques do mundo real, novas descobertas da VulnCheck revelam.
Rastreada como
CVE-2023-43261
(pontuação CVSS: 7.5), a vulnerabilidade foi descrita como um caso de divulgação de informações que afeta os roteadores UR5X, UR32L, UR32, UR35 e UR41 antes da versão 35.3.0.7 que poderia permitir aos atacantes acesso a logs como httpd.log, bem como outras credenciais sensíveis.
Como resultado, isso pode permitir que atacantes remotos e não autenticados obtenham acesso não autorizado à interface web, tornando assim possível configurar servidores VPN e até mesmo derrubar proteções de firewall.
"Esta vulnerabilidade se torna ainda mais grave, pois alguns roteadores permitem o envio e recebimento de mensagens SMS," disse o pesquisador de segurança Bipin Jitiya, que descobriu o problema, no início deste mês.
"Um atacante poderia explorar essa funcionalidade para atividades fraudulentas, podendo causar prejuízo financeiro ao proprietário do roteador."
Agora, de acordo com Jacob Baines da VulnCheck, há evidências de que a falha pode ter sido explorada em pequena escala no mundo real.
"Observamos 5.61.39[.]232 tentando fazer login em seis sistemas em 2 de outubro de 2023", disse Baines.
"Os endereços IP dos sistemas afetados são localizados na França, Lituânia e Noruega.
Eles não parecem estar relacionados e todos usam credenciais não padrão diferentes."
Em quatro das seis máquinas, o ator da ameaça disse ter autenticado com sucesso na primeira tentativa.
No quinto sistema, o login foi bem-sucedido na segunda vez, e no sexto, a autenticação resultou em falha.
As credenciais usadas para realizar o ataque foram extraídas do httpd.log, aludindo à utilização da
CVE-2023-43261
.
Não há evidências de outras ações maliciosas, embora pareça que o ator desconhecido verificou as páginas de configurações e status.
Segundo a VulnCheck, embora existam aproximadamente 5.500 roteadores Milesight expostos à internet, apenas cerca de 5% estão executando versões de firmware vulneráveis, e portanto, suscetíveis à falha.
"Se você tem um Roteador Industrial Celular Milesight, é provavelmente sábio presumir que todas as credenciais no sistema foram comprometidas e simplesmente gerar novas, e garantir que nenhuma interface seja acessível via internet", disse Baines.
Seis falhas descobertas nos servidores Titan MFT e Titan SFTP
A divulgação ocorre enquanto a Rapid7 detalhava várias falhas de segurança nos servidores Titan MFT e Titan SFTP da South River Technologies que, se explorados, podem permitir acesso de superusuário remoto aos hosts afetados.
A lista de vulnerabilidades é a seguinte -
CVE-2023-45685
- Execução remota de código autenticado via "Zip Slip"
CVE-2023-45686
- Execução remota de código autenticado via WebDAV Path Traversal
CVE-2023-45687
- Fixação de sessão no servidor de administração remota
CVE-2023-45688
- Divulgação de informações via Path Traversal no FTP
CVE-2023-45689
- Divulgação de informações via Path Traversal na interface do administrador
CVE-2023-45690
- Vazamento de informações via banco de dados mundial + registros
"A exploração bem-sucedida de várias desses problemas concede ao atacante a execução remota de código como o usuário root ou SYSTEM", disse a empresa.
"No entanto, todos os problemas são pós-autenticação e requerem configurações não padrão e, portanto, é improvável que vejam uma exploração em grande escala."
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...