Decenas de miles de enrutadores DrayTek, incluidos los modelos utilizados por muchas empresas y agencias gubernamentales, corren un mayor riesgo de sufrir ataques a través de 14 vulnerabilidades de firmware recientemente descubiertas.
Varias vulnerabilidades permiten ataques de denegación de servicio y ejecución remota de código (RCE), mientras que otras permiten a actores maliciosos inyectar y ejecutar código malicioso en las páginas web y navegadores de los usuarios que visitan sitios web comprometidos.
Una amplia gama de defectos
Dos de las nuevas vulnerabilidades son críticas, lo que significa que requieren atención inmediata: CVE-2024-41592, un error RCE de máxima gravedad en el componente de interfaz de usuario web de los enrutadores DrayTek, y CVE-2024-41585, una vulnerabilidad de ejecución de comando de escape del sistema operativo/VM. . con una puntuación de gravedad CVSS de 9,1. Nueve de estas vulnerabilidades son amenazas de gravedad media y tres son vulnerabilidades de gravedad relativamente baja. Las vulnerabilidades están presentes en 24 modelos de enrutadores DrayTek.
Los investigadores de Vedere Labs de Forescout descubrieron las vulnerabilidades durante una investigación sobre los enrutadores DrayTek, impulsada por lo que el proveedor de seguridad describió como signos de actividad de ataque constante dirigida a los enrutadores y una serie de vulnerabilidades recientes en la tecnología.
Descubrieron más de 704.000 enrutadores DrayTek expuestos a Internet, principalmente en Europa y Asia, muchos de los cuales probablemente contengan las vulnerabilidades recién descubiertas.
«Dado que el 75% de estos enrutadores se utilizan en entornos comerciales, las implicaciones para la continuidad del negocio y la reputación son graves», advierten los investigadores de Forescout en un informe que resume los resultados de su encuesta, que llamaron Dray: Pausa. “Un ataque exitoso podría resultar en un tiempo de inactividad significativo, pérdida de confianza del cliente y sanciones regulatorias, todo lo cual recae directamente sobre los hombros del CISO. »
Los parches pueden no ser suficientes
DrayTek ha publicado correcciones para todas las vulnerabilidades a través de diferentes actualizaciones de firmware. Sin embargo, las organizaciones no deberían limitarse a aplicar parches, afirma Daniel dos Santos, jefe de investigación de seguridad de Forescout Vedere Labs. Para reducir los riesgos de vulnerabilidades similares en los enrutadores DrayTek en el futuro, los equipos de seguridad también deberían implementar de manera proactiva medidas de mitigación a largo plazo, agrega. «Nuestro informe muestra que existe una larga historia de vulnerabilidades críticas que afectan a estos enrutadores, y muchas de ellas han sido explotadas por botnets y otro malware», afirma. “Adoptar un enfoque de seguridad proactivo garantiza que incluso cuando se descubran nuevas vulnerabilidades, el riesgo para una organización será bajo. »
Es probable que a los atacantes les resulte relativamente fácil encontrar enrutadores DrayTek que contengan las nuevas vulnerabilidades utilizando motores de búsqueda como Shodan o Censys, afirma dos Santos. Pero «la explotación es más difícil porque no hemos proporcionado una prueba funcional detallada del concepto, sólo la descripción general de las vulnerabilidades», añade. «Si otro investigador o atacante crea y publica un exploit que funcione, entonces podría ocurrir una explotación masiva, como ha sucedido con otros CVE de DrayTek en el pasado».
Las medidas de mitigación recomendadas por DrayTek y Forescout incluyen deshabilitar el acceso remoto si no es necesario, garantizar que no se hayan agregado perfiles de acceso remoto no autorizados, habilitar el registro del sistema y usar solo protocolos seguros como HTTPS. Forescout también recomienda que los clientes de DrayTek garanticen una visibilidad de red adecuada, cambien las configuraciones predeterminadas, reemplacen los dispositivos al final de su vida útil y segmenten sus redes.
Un objetivo de ataque popular
Este consejo llega en medio de signos de una creciente actividad por parte de los actores de amenazas, incluidos actores estatales – apuntando a vulnerabilidades en enrutadores y otros dispositivos de red de DrayTek y varios otros proveedores, incluidos Fortinet, F5, QNAP, Ivanti, Juniper y Zyxel.
En un aviso emitido en septiembre, el FBI, la Agencia de Seguridad Nacional de EE. UU. y la Cyber National Mission Force advirtió contra los actores de amenazas chinos comprometiendo estos enrutadores y dispositivos de Internet de las cosas en operaciones generalizadas de botnets. «El actor podría entonces utilizar la botnet como proxy para ocultar su identidad mientras implementa ataques distribuidos de denegación de servicio (DDoS) o compromete redes estadounidenses específicas», advierte el aviso. Dos semanas antes del aviso, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. agregó dos vulnerabilidades de DrayTek a partir de 2021 (CVE-2021-20123 Y CVE-2021-20124) a su lista de vulnerabilidades explotadas conocidas que citan actividad de explotación activa. En 2022, un RCE crítico para la marca de enrutadores Vigor de DrayTek puso a muchos Las pequeñas y medianas empresas corren el riesgo de sufrir ataques sin clic.
Otra preocupación es el número relativamente alto de vulnerabilidades críticas en los productos DrayTek en los últimos años, ya que muchas organizaciones no parecen abordarlas con la suficiente rapidez, dijo Forescout. El informe del proveedor de seguridad destacó 18 vulnerabilidades que se remontan a 2020, la mayoría de las cuales tienen puntuaciones de gravedad cercanas al máximo de 9,8 en la escala CVSS. Sin embargo, el 38% de los más de 704.000 dispositivos DrayTek descubiertos por Forescout no tenían parches para las vulnerabilidades reveladas hace dos años.
«Muchas organizaciones no tienen el nivel adecuado de visibilidad de los dispositivos no administrados, como los enrutadores, y por lo tanto pueden no ser conscientes de estos problemas en sus redes», dice dos Santos. “Confían en agentes de seguridad y telemetría de terminales para proporcionar información sobre las versiones de software y aplicar parches. Pero cuando se trata de firmware, que no admite agentes, es posible que no sepan que existen vulnerabilidades en su red o que no hayan aplicado los agentes manualmente. arreglos.»