El mistake crítico de RCE en los enrutadores DrayTek abre las PYMES a los ataques de cero clic



Ha surgido una vulnerabilidad crítica de ejecución remota de código (RCE) preautenticada en la línea ampliamente utilizada de enrutadores DrayTek Vigor para pequeñas empresas. Si se explota, los investigadores advierten que podría permitir la adquisición completa del dispositivo, junto con el acceso a la pink más amplia.

El error (registrado como CVE-2022-32548) tiene la puntuación de gravedad de vulnerabilidad más alta en la escala CVSS: 10 de 10. Esto no es una sorpresa dado que no solo es un RCE de autenticación previa, sino que los atacantes podrían explotarlo para comprometer un dispositivo sin ingeniería social o interacción del usuario, según un divulgación de vulnerabilidad hoy desde Trellix.

Los enrutadores DrayTek a menudo son utilizados por pequeñas y medianas empresas (PYMES) para proporcionar acceso VPN a los empleados, una necesidad cada vez mayor dada la migración masiva de trabajadores a situaciones de trabajo desde el hogar desde que comenzó la pandemia. Están ampliamente desplegados, incluso en los EE. UU., Asia y Europa, y especialmente en el Reino Unido.

El ataque de clic cero es posible si la interfaz de administración del dispositivo está configurada para estar orientada a Internet, según Trellix (una búsqueda de Shodan mostró que alrededor de 200,000 enrutadores tienen interfaces abiertas a Internet). Pero incluso si no lo es, también es posible un ataque con un solo clic, lo que requeriría acceso a la LAN.

Parche ahora: PYMES en la mira

Hasta el momento, no hay signos de explotación, pero dado que el mistake ahora se revela, es possible que eso cambie, por lo que los administradores deben aplicar las actualizaciones de firmware específicas de su dispositivo de inmediato.

Los enrutadores DrayTek están firmemente en la mira de los ciberdelincuentes, y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) llegó al extremo de emitir una advertencia a tal efecto el pasado mes de junio. De hecho, los errores de DrayTek RCE se encuentran entre los más populares utilizados por los atacantes patrocinados por el estado chino, señaló la agencia, que los están utilizando para perseguir a las PYMES en una tendencia que ha sido evidente desde 2020.

Lumen también publicó un aviso en junio sobre ZuoRAT que explota un error en el Vigor 3900, un dispositivo al last de su vida útil con una gran foundation instalada entre los usuarios de oficinas pequeñas/oficinas domésticas (SOHO).

Puede parecer contradictorio que las amenazas persistentes avanzadas (APT) persigan peces pequeños, pero Trellix señala que en 2020, el La Administración de Pequeñas Empresas de EE. UU. informó que hay 6 millones de pequeñas empresas con menos de 500 empleados en el país, en comparación con solo 20,000 empresas grandes.

«Si bien podemos olvidarnos de esta superficie de ataque masivo, nuestros adversarios no lo han hecho», señalan los investigadores de Trellix. «Es imperativo comprender que usted es un objetivo sin importar el tamaño o el tipo de negocio. Los datos continúan demostrando que este espacio no solo es un objetivo, sino que a menudo es un objetivo más possible. Es essential que los usuarios de SOHO y SMB comprendan sus redes , manténgase actualizado sobre todos los parches de los proveedores e informe de inmediato los incumplimientos a las fuerzas del orden”.

De hecho, Barracuda Networks publicó en marzo un informe que encontró que las pequeñas empresas son tres veces más probabilidades de ser objetivo por los ciberdelincuentes que sus contrapartes más grandes.

Resultados riesgosos: Compromiso complete del dispositivo

En el caso del nuevo mistake, un ataque puede conducir a una serie de resultados que cambian el juego para las PYMES, según los investigadores, en algunos casos, resultados que terminan con la empresa.

Estos incluyen el robo de datos confidenciales almacenados en el enrutador, como claves y contraseñas administrativas que podrían usarse para avanzar más en la pink para entregar ransomware u otro malware. Los atacantes con mentalidad de espionaje también podrían obtener acceso a los recursos internos ubicados en la LAN que normalmente requerirían acceso VPN lanzar ataques person-in-the-center (MitM) para espiar las solicitudes de DNS y otro tráfico no cifrado que fluye de los usuarios a través del enrutador y lograr la captura de paquetes de los datos que pasan por cualquier puerto del enrutador. Otros tipos de ataques incluyen agregar el dispositivo a una botnet para fines de denegación de servicio distribuido (DDoS) o criptominería.

Incluso los intentos fallidos de explotación pueden ser problemáticos, según Trellix, lo que resulta en el reinicio del dispositivo o una condición DoS que bloquearía a los usuarios para acceder a los recursos de la empresa en la LAN.

Bajo el capó con CVE-2022-32548

El mistake RCE afecta específicamente al Vigor 3910 y a otros 28 modelos DrayTek que comparten la misma foundation de código (se incluye una lista en el aviso de Trellix). Los investigadores señalan que se debe a un desbordamiento de búfer en la página de inicio de sesión de la interfaz de administración world-wide-web de los dispositivos (/cgi-bin/wlogin.cgi).

«Un atacante puede proporcionar un nombre de usuario y/o contraseña cuidadosamente elaborados como cadenas codificadas en base64 dentro de los campos aa y ab de la página de inicio de sesión», según el artículo. «Esto provocaría que se lively el desbordamiento del búfer debido a un mistake lógico en la verificación del tamaño de estas cadenas codificadas».

Como se muestra en un Movie de explotación de prueba de concepto (PoC)los atacantes pueden tomar el control del sistema operativo DrayOS que implementa las funcionalidades del enrutador.

«En los dispositivos que tienen un sistema operativo Linux subyacente (como el Vigor 3910), es posible pasar al sistema operativo subyacente y establecer un punto de apoyo confiable en el dispositivo y la purple community», explican los investigadores. «Los dispositivos que ejecutan DrayOS como un sistema operativo completo serán más difíciles de comprometer, ya que requieren que un atacante tenga una mejor comprensión de las partes internas de DrayOS».

Cómo protegerse contra ataques de enrutadores SMB/SOHO

Para las empresas que usan enrutadores DrayTek, la protección contra ataques comienza con parches y asegurarse de que el firmware esté siempre actualizado.

Más allá de eso, los investigadores de Trellix recomiendan que los administradores nunca expongan la interfaz de administración a Web a menos que sea absolutamente necesario y si es así, deberían implementar autenticación de dos factores (2FA) y restricciones de IP para minimizar el riesgo.

Una vez que se aplica el parche, los administradores también deben verificar que la duplicación de puertos, la configuración de DNS, el acceso VPN autorizado y cualquier otra configuración relevante no se hayan manipulado en la interfaz de administración. Y deberían cambiar la contraseña de los dispositivos y revocar cualquier secreto almacenado en el enrutador al que se haya accedido antes de parchear.

Para aquellas empresas que no pueden parchear de inmediato, los investigadores de Trellix dicen que monitorear el compromiso debería ser una prioridad.

«Los intentos de explotación se pueden detectar registrando/alertando cuando se envía una cadena foundation64 con formato incorrecto a través de una solicitud Post al punto closing /cgi-bin/wlogin.cgi en el enrutador de la interfaz de administración net», señalan. «Se espera que las cadenas codificadas en Foundation64 se encuentren en los campos aa y ab de la solicitud Article. Las cadenas foundation64 con formato incorrecto que indican un ataque tendrían un número anormalmente alto de relleno %3D. Cualquier número top-quality a tres debe considerarse sospechoso».



Enlace a la noticia unique