Se han descubierto poco más de una docena de nuevas vulnerabilidades de seguridad en enrutadores residenciales y empresariales fabricados por DrayTek que podrían explotarse para controlar dispositivos susceptibles.
«Estas vulnerabilidades podrían permitir a los atacantes tomar el control de un enrutador inyectando código malicioso, permitiéndoles persistir en el dispositivo y usarlo como puerta de entrada a las redes empresariales», dijo Forescout Vedere Labs en un informe técnico compartido con The Hacker News.
De las 14 fallas de seguridad, dos se califican como críticas, nueve como altas y tres como de gravedad media. La más crítica de las deficiencias es una falla a la que se le ha otorgado la puntuación máxima CVSS de 10,0.
Se trata de un error de desbordamiento del búfer en la función «GetCGI()» en la interfaz de usuario web que podría provocar una denegación de servicio (DoS) o una ejecución remota de código (RCE) al procesar los parámetros de la cadena de consulta.
Otra vulnerabilidad crítica se relaciona con un caso de inyección de comandos del sistema operativo (SO) en el binario «recvCmd» utilizado para las comunicaciones entre el sistema operativo host y el invitado.
Los 12 defectos restantes se enumeran a continuación:
- Uso de las mismas credenciales de administrador en todo el sistema, lo que resulta en un compromiso total del sistema (puntuación CVSS: 7,5)
- Una vulnerabilidad de secuencias de comandos entre sitios (XSS) reflejada en la interfaz de usuario web (puntuación CVSS: 7,5)
- Una vulnerabilidad XSS almacenada en la interfaz de usuario web al configurar un mensaje de saludo personalizado después de iniciar sesión (puntuación CVSS: 4,9)
- Una vulnerabilidad XSS almacenada en la interfaz de usuario web al configurar un nombre de enrutador personalizado para mostrarlo a los usuarios (puntuación CVSS: 4,9)
- Una vulnerabilidad XSS reflejada en la página de inicio de sesión de la interfaz de usuario web (puntuación CVSS: 4,9)
- Vulnerabilidades de desbordamiento de búfer en las páginas CGI de la interfaz de usuario web «/cgi-bin/v2x00.cgi» y «/cgi-bin/cgiwcg.cgi» que conducen a DoS o RCE (puntuación CVSS: 7,2)
- Vulnerabilidades de desbordamiento de búfer en las páginas CGI de la interfaz de usuario web que conducen a DoS o RCE (puntuación CVSS: 7,2)
- Una vulnerabilidad de desbordamiento del búfer de pila en la página «/cgi-bin/ipfedr.cgi» de la interfaz de usuario web que conduce a DoS o RCE (puntuación CVSS: 7,2)
- Múltiples vulnerabilidades de desbordamiento de búfer en la interfaz de usuario web que conducen a DoS o RCE (puntuación CVSS: 7,2)
- Una vulnerabilidad de desbordamiento de búfer basada en montón en la función ft_payloads_dns() de la interfaz de usuario web que conduce a DoS (puntuación CVSS: 7,2)
- Una vulnerabilidad de escritura fuera de límites en la interfaz de usuario web que provoca DoS o RCE (puntuación CVSS: 7,2)
- Una vulnerabilidad de divulgación de información en el backend del servidor web para la interfaz de usuario web que podría permitir que un actor de amenazas realice un ataque de adversario en el medio (AitM) (puntuación CVSS: 7,6)
El análisis de Forescout encontró que más de 704.000 enrutadores DrayTek tienen su interfaz de usuario web expuesta a Internet, lo que la convierte en una superficie rica en ataques para actores maliciosos. La mayoría de los casos expuestos se encuentran en Estados Unidos, seguidos de Vietnam, Países Bajos, Taiwán y Australia.
Tras una divulgación responsable, se han parcheado todos los fallos identificados. liberado por DrayTek, con la vulnerabilidad máxima también abordada en 11 modelos de fin de vida (EoL).
«La protección completa contra las nuevas vulnerabilidades requiere parchear los dispositivos que ejecutan el software afectado», dijo Forescout. «Si el acceso remoto está habilitado en su enrutador, desactívelo si no es necesario. Utilice una lista de control de acceso (ACL) y autenticación de dos factores (2FA) si es posible».
El desarrollo se produce cuando las agencias de ciberseguridad de Australia, Canadá, Alemania, Japón, los Países Bajos, Nueva Zelanda, Corea del Sur, el Reino Unido y los EE. UU. emitieron una guía conjunta para las organizaciones de infraestructura crítica para ayudar a mantener un entorno de tecnología operativa (OT) seguro. .
El documento, titulado «Principios de ciberseguridad de la tecnología operativa», describe seis reglas fundamentales:
- La seguridad es primordial
- El conocimiento del negocio es crucial.
- Los datos de OT son extremadamente valiosos y deben protegerse
- Segmentar y segregar OT de todas las demás redes
- La cadena de suministro debe ser segura
- Las personas son esenciales para la ciberseguridad de OT
«Filtrar rápidamente las decisiones para identificar aquellas que impactan la seguridad de OT mejorará la toma de decisiones sólidas, informadas e integrales que promuevan la seguridad y la continuidad del negocio al diseñar, implementar y gestionar entornos de OT», dijeron las agencias. dicho.