0
0
Uma vulnerabilidade crítica de execução remota de código (RCE) pré-autenticada surgiu na linha amplamente usada de roteadores DrayTek Vigor para empresas menores. Se for explorado, os pesquisadores alertam que pode permitir o controle completo do dispositivo, juntamente com o acesso à rede mais ampla.
O bug (rastreado como CVE-2022-32548) possui a pontuação de gravidade de vulnerabilidade mais alta na escala CVSS: 10 de 10. Isso não é surpresa, já que não é apenas um RCE que não requer autenticação, mas os invasores podem explorá-lo para comprometer um dispositivo sem engenharia social ou interação do usuário, de acordo com uma divulgação de vulnerabilidade hoje da Trellix.
Os roteadores DrayTek são frequentemente usados por pequenas e médias empresas (SMBs) para fornecer acesso VPN aos funcionários – uma necessidade crescente dada a migração em massa de trabalhadores para situações de trabalho remoto desde o início da pandemia. Eles são amplamente implantados, inclusive nos EUA e em toda a Ásia e Europa, especialmente no Reino Unido.
O ataque de clique zero é possível se a interface de gerenciamento do dispositivo estiver configurada para ser voltada para a Internet, de acordo com a Trellix (uma pesquisa da Shodan mostrou que cerca de 200.000 roteadores têm interfaces abertas à Internet). Mas mesmo que não seja, um ataque de um clique também é possível, o que exigiria acesso à LAN.
Patch Now: SMBs na mira
Até agora, não há sinais de exploração, mas como o bug agora foi divulgado, é provável que isso mude, portanto, os administradores devem aplicar imediatamente as atualizações de firmware específicas do dispositivo.
Os roteadores DrayTek estão firmemente na mira dos cibercriminosos, com a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) chegando a emitir um avisonesse sentido em junho passado. De fato, os bugs DrayTek RCE estão entre os mais populares usados por invasores patrocinados pelo estado chinês, observou a agência, que os está usando para perseguir SMBs em uma tendência evidente desde 2020 .
A Lumen também publicou um aviso em junho sobre o ZuoRAT explorando um bug no Vigor 3900, um dispositivo em fim de vida com uma grande base instalada entre usuários de pequenos escritórios/escritórios domésticos (SOHO).
Pode parecer contra-intuitivo que ameaças persistentes avançadas (APTs) estejam perseguindo peixes pequenos, mas Trellix aponta que, em 2020, a Administração de Pequenas Empresas dos EUA informou que existem 6 milhões de pequenas empresas com menos de 500 funcionários no país, em comparação com apenas 20.000 grandes empresas.
“Embora possamos esquecer essa enorme superfície de ataque, nossos adversários não”, observam os pesquisadores da Trellix. “É imperativo entender que você é um alvo, não importa o tamanho ou tipo de negócio. Os dados continuam a demonstrar que esse espaço não é apenas um alvo, mas muitas vezes um alvo mais provável. É fundamental que os usuários de SOHO e SMB entendam suas redes , mantenha-se atualizado sobre todos os patches do fornecedor e relate imediatamente as violações às autoridades policiais.”
De fato, a Barracuda Networks publicou em março um relatório que descobriu que as pequenas empresas têm três vezes mais chances de serem alvo de cibercriminosos do que suas contrapartes maiores.
Resultados arriscados: comprometimento total do dispositivo
No caso do novo bug, um ataque pode levar a uma série de resultados revolucionários para as PMEs, de acordo com os pesquisadores – em alguns casos, resultados finais da empresa.
Isso inclui o roubo de dados confidenciais armazenados no roteador, como chaves e senhas administrativas que podem ser usadas para entrar na rede para entregar ransomware ou outro malware. Os invasores com espírito de espionagem também podem obter acesso aos recursos internos localizados na LAN que normalmente exigiriam acesso VPN; lançar ataques man-in-the-middle (MitM) para espionar solicitações de DNS e outro tráfego não criptografado que flui de usuários através do roteador; e conseguir a captura de pacotes dos dados que passam por qualquer porta do roteador. Outros tipos de ataques incluem adicionar o dispositivo a um botnet para fins de negação de serviço distribuído (DDoS) ou mineração de criptografia.
Mesmo tentativas de exploração malsucedidas podem ser problemáticas, de acordo com Trellix, resultando na reinicialização do dispositivo ou em uma condição DoS que impediria os usuários de acessar os recursos da empresa na LAN.
Sob o capô com CVE-2022-32548
O bug RCE afeta especificamente o Vigor 3910 e 28 outros modelos DrayTek que compartilham a mesma base de código (uma lista está incluída no aviso Trellix). Os pesquisadores observam que isso decorre de um estouro de buffer na página de login da interface de gerenciamento da Web dos dispositivos (/cgi-bin/wlogin.cgi).
“Um invasor pode fornecer um nome de usuário e/ou senha cuidadosamente elaborados como strings codificadas em base64 dentro dos campos aa e ab da página de login”, de acordo com o artigo. “Isso faria com que o estouro de buffer fosse acionado devido a um bug lógico na verificação de tamanho dessas strings codificadas.”
Conforme mostrado em um vídeo de exploração de prova de conceito (PoC) , os invasores podem assumir o sistema operacional DrayOS que implementa as funcionalidades do roteador.
“Em dispositivos que possuem um sistema operacional Linux subjacente (como o Vigor 3910), é possível migrar para o sistema operacional subjacente e estabelecer uma base confiável no dispositivo e na rede local”, explicam os pesquisadores. “Dispositivos que executam o DrayOS como um sistema operacional bare-metal serão mais difíceis de comprometer, pois exige que um invasor tenha uma melhor compreensão dos componentes internos do DrayOS”.
Como se proteger contra ataques de roteador SMB/SOHO
Para empresas que usam roteadores DrayTek, a proteção contra ataques começa com a aplicação de patches e a garantia de que o firmware esteja sempre atualizado.
Além disso, os pesquisadores da Trellix recomendam que os administradores nunca exponham a interface de gerenciamento à Internet, a menos que seja absolutamente necessário; e se for, eles devem implementar autenticação de dois fatores (2FA) e restrições de IP para minimizar o risco.
Depois que o patch for aplicado, os administradores também devem verificar se o espelhamento de porta, as configurações de DNS, o acesso VPN autorizado e quaisquer outras configurações relevantes não foram adulteradas na interface de gerenciamento. E eles devem alterar a senha dos dispositivos e revogar qualquer segredo armazenado no roteador que possa ter sido acessado antes do patch.
Para as empresas que não podem corrigir imediatamente, os pesquisadores da Trellix dizem que o monitoramento de comprometimento deve ser uma prioridade.
“As tentativas de exploração podem ser detectadas registrando/alertando quando uma string base64 malformada é enviada por meio de uma solicitação POST para o terminal /cgi-bin/wlogin.cgi no roteador da interface de gerenciamento da web”, observam. “Espera-se que as strings codificadas em Base64 sejam encontradas nos campos aa e ab da solicitação POST. As strings base64 malformadas indicativas de um ataque teriam um número anormalmente alto de preenchimento %3D. Qualquer número acima de três deve ser considerado suspeito.”
FONTE: DARK READING