Er zijn iets meer dan een dozijn nieuwe beveiligingsproblemen ontdekt in door DrayTek vervaardigde routers voor woningen en bedrijven die kunnen worden uitgebuit om gevoelige apparaten over te nemen.
“Deze kwetsbaarheden kunnen aanvallers in staat stellen de controle over een router over te nemen door kwaadaardige code te injecteren, waardoor ze op het apparaat kunnen blijven werken en het kunnen gebruiken als toegangspoort tot bedrijfsnetwerken”, aldus Forescout Vedere Labs in een technisch rapport gedeeld met The Hacker News.
Van de veertien beveiligingsfouten zijn er twee als kritiek beoordeeld, negen als hoog en drie als middelmatig. De meest kritische tekortkoming is een fout die de maximale CVSS-score van 10,0 heeft gekregen.
Het betreft een bufferoverflow-bug in de “GetCGI()”-functie in de webgebruikersinterface die zou kunnen leiden tot een Denial-of-Service (DoS) of Remote Code Execution (RCE) bij het verwerken van de querystringparameters.
Een andere kritieke kwetsbaarheid heeft betrekking op een geval van commando-injectie van het besturingssysteem (OS) in het binaire bestand “recvCmd” dat wordt gebruikt voor de communicatie tussen het host- en gast-besturingssysteem.
De resterende 12 tekortkomingen worden hieronder vermeld:
- Gebruik van dezelfde beheerdersreferenties voor het hele systeem, resulterend in volledige systeemcompromis (CVSS-score: 7,5)
- Een gereflecteerde cross-site scripting (XSS) kwetsbaarheid in de webinterface (CVSS-score: 7,5)
- Een opgeslagen XSS-kwetsbaarheid in de webinterface bij het configureren van een aangepast begroetingsbericht na het inloggen (CVSS-score: 4,9)
- Een opgeslagen XSS-kwetsbaarheid in de webinterface bij het configureren van een aangepaste routernaam die aan gebruikers moet worden weergegeven (CVSS-score: 4,9)
- Een gereflecteerde XSS-kwetsbaarheid op de inlogpagina van de webinterface (CVSS-score: 4,9)
- Bufferoverloopkwetsbaarheden in de CGI-pagina’s “/cgi-bin/v2x00.cgi” en “/cgi-bin/cgiwcg.cgi” van de webinterface, leidend tot DoS of RCE (CVSS-score: 7,2)
- Bufferoverloopkwetsbaarheden in de CGI-pagina’s van de webinterface die leiden tot DoS of RCE (CVSS-score: 7,2)
- Een kwetsbaarheid voor stapelbufferoverloop op de “/cgi-bin/ipfedr.cgi”-pagina van de webinterface die leidt naar DoS of RCE (CVSS-score: 7,2)
- Meerdere bufferoverloopkwetsbaarheden in de webinterface die leiden tot DoS of RCE (CVSS-score: 7,2)
- Een op heap gebaseerde bufferoverloopkwetsbaarheid in de ft_payloads_dns()-functie van de webinterface die leidt tot DoS (CVSS-score: 7,2)
- Een schrijfkwetsbaarheid buiten het bereik in de webinterface die leidt tot DoS of RCE (CVSS-score: 7,2)
- Een beveiligingslek met betrekking tot het vrijgeven van informatie in de backend van de webserver voor de webinterface waardoor een bedreigingsacteur een AitM-aanval (adversary-in-the-middle) kan uitvoeren (CVSS-score: 7,6)
Uit de analyse van Forescout bleek dat de webinterface van meer dan 704.000 DrayTek-routers is blootgesteld aan het internet, waardoor het een aanvalsrijk oppervlak is voor kwaadwillende actoren. Het merendeel van de blootgestelde gevallen bevindt zich in de VS, gevolgd door Vietnam, Nederland, Taiwan en Australië.
Na verantwoorde openbaarmaking zijn door DrayTek patches voor alle geïdentificeerde fouten uitgebracht, waarbij de maximaal beoordeelde kwetsbaarheid ook is aangepakt in 11 end-of-life (EoL)-modellen.
“Volledige bescherming tegen de nieuwe kwetsbaarheden vereist het patchen van apparaten waarop de getroffen software draait”, aldus Forescout. “Als externe toegang is ingeschakeld op uw router, schakel deze dan uit als dit niet nodig is. Gebruik indien mogelijk een toegangscontrolelijst (ACL) en tweefactorauthenticatie (2FA).”
De ontwikkeling komt op het moment dat cyberbeveiligingsagentschappen uit Australië, Canada, Duitsland, Japan, Nederland, Nieuw-Zeeland, Zuid-Korea, het Verenigd Koninkrijk en de VS gezamenlijke richtlijnen hebben uitgegeven voor organisaties met kritieke infrastructuur om een veilige, beveiligde operationele technologie (OT)-omgeving te helpen behouden. .
Het document, getiteld ‘Principles of Operational Technology Cybersecurity’, schetst zes fundamentele regels:
- Veiligheid staat voorop
- Kennis van de business is cruciaal
- OT-gegevens zijn uiterst waardevol en moeten worden beschermd
- Segmenteer en scheid OT van alle andere netwerken
- De toeleveringsketen moet veilig zijn
- Mensen zijn essentieel voor OT-cyberbeveiliging
“Het snel filteren van beslissingen om de beslissingen te identificeren die van invloed zijn op de beveiliging van OT zal het nemen van robuuste, geïnformeerde en alomvattende beslissingen verbeteren die de veiligheid, beveiliging en bedrijfscontinuïteit bevorderen bij het ontwerpen, implementeren en beheren van OT-omgevingen”, aldus de agentschappen.