A DrayTek lançou atualizações de segurança para vários modelos de roteadores para corrigir 14 vulnerabilidades de gravidades variadas, incluindo uma falha de execução remota de código que recebeu a pontuação máxima CVSS de 10.
As falhas, descobertas pela Forescout Research – Vedere Labs, afetam tanto modelos ativamente suportados quanto aqueles que alcançaram o fim do ciclo de vida (end-of-life).
No entanto, devido à gravidade, a DrayTek forneceu correções para roteadores em ambas as categorias.
Os pesquisadores alertaram que suas varreduras revelaram que aproximadamente 785.000 roteadores DrayTek podem estar vulneráveis ao novo conjunto de falhas, com mais de 704.500 tendo sua interface web exposta à internet.
A maioria das vulnerabilidades descobertas pela Vedere Labs são problemas de buffer overflow e cross-site scripting de gravidade média, ditados por vários requisitos de exploração.
No entanto, cinco das falhas apresentam riscos significativos, exigindo atenção imediata.
Estas são resumidas da seguinte forma:
FSCT-2024-0006: Uma vulnerabilidade de buffer overflow na função "GetCGI()", responsável por lidar com dados de solicitações HTTP, que pode levar a negação de serviço (DoS) ou execução remota de código (RCE).
(Pontuação CVSS: 10.0)
FSCT-2024-0007: Injeção de Comando na Comunicação de SO – O binário "recvCmd" usado para comunicação entre os sistemas operacionais host e convidado é vulnerável a ataques de injeção de comando, potencialmente permitindo a fuga de VM.
(Pontuação CVSS: 9.1)
FSCT-2024-0014: O backend do servidor web usa uma string estática para alimentar o gerador de números pseudo-aleatórios (PRNG) em OpenSSL para conexões TLS, o que pode levar à divulgação de informações e ataques man-in-the-middle (MiTM).
(Pontuação CVSS: 7.6)
FSCT-2024-0001: O uso de credenciais administrativas idênticas em todo o sistema pode levar ao comprometimento total do sistema se essas credenciais forem obtidas.
(Pontuação CVSS: 7.5)
FSCT-2024-0002: Uma página HTML na Interface de Usuário Web (Web UI) trata de maneira inadequada a entrada, permitindo vulnerabilidades de XSS refletidas.
(Pontuação CVSS: 7.5)
Até o momento, não houve relatos de exploração ativa dessas falhas, e a publicação de detalhes analíticos foi retida para dar aos usuários tempo suficiente para aplicar as atualizações de segurança.
As falhas acima afetam 24 modelos de roteadores, dos quais 11 alcançaram o fim da vida útil, mas ainda assim receberam correções.
Os modelos afetados e as versões de firmware alvo para upgrade podem ser vistos na tabela abaixo.
Os usuários podem baixar o firmware mais recente para o modelo de seu dispositivo no portal de download oficial da DrayTek.
A Vedere Labs relata que encontrou mais de 704.500 dispositivos com a interface de usuário web DrayTek Vigor exposta à internet, embora ela deva ser acessível apenas de uma rede local.
Quase metade dos dispositivos sob visibilidade direta da Forescout está localizada nos Estados Unidos, mas os resultados do Shodan mostram números significativos no Reino Unido, Vietnã, Holanda e Austrália.
Além de aplicar as últimas atualizações de firmware, recomenda-se aos usuários que tomem as seguintes ações:
Desativar o acesso remoto se não necessário, e usar uma lista de controle de acesso e autenticação de dois fatores quando ativo.
Verificar as configurações quanto a alterações arbitrárias ou a adição de usuários administradores ou perfis de acesso remoto.
Desativar conexões SSL VPN através da porta 443.
Habilitar o registro em syslog para monitorar eventos suspeitos.
Habilitar o upgrade automático para páginas HTTPS no seu navegador web.
Todos os usuários da DrayTek devem confirmar que o console de acesso remoto de seu dispositivo está desativado, pois esses serviços são comumente alvo de explorações e ataques de força bruta.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...