NCKB SK-CERT varuje pred pokračujúcim zneužívaním kritických zraniteľností v zariadeniach DrayTek
Národné centrum kybernetickej bezpečnosti SK-CERT vydalo dňa 31.marca 2020 bezpečnostné varovanie na kritickú zraniteľnosť prepínačov a smerovačov Vigor od firmy DrayTek.
Podľa spoločnosti Netlab 360[1] sa táto zraniteľnosť nachádza na približne 100 000 zariadeniach. Napriek tomu, že ide o staršiu zraniteľnosť, na ktorú boli vydané aktualizácie už 10. februára 2020, útočníci ju naďalej aktívne zneužívajú, nakoľko používatelia a správcovia zasiahnutých systémov ich ešte neaktualizovali.
Zraniteľnosť sa priamo týka nasledovných systémov:
- DrayTek Vigor 2960, 3900, 300B firmvér verzie staršie ako 1.5.1
- DrayTek VigorSwitch20P2121, VigorSwitch20G1280, VigorSwitch20P1280, VigorSwitch20P2280 verzie staršie ako 2.3.2
Tieto zariadenia sa často používajú na pripojenie do Internetu v domácnostiach, malých a stredných firmách.
Technický popis
Zraniteľnosť je označená kódom CVE-2020-8515 a v skutočnosti ukrýva až dve zraniteľnosti skriptu mainfunction.cgi:
- skript nekontroluje správnosť parametra keyPath, čo umožní dosiahnuť spustenie ľubovoľného príkazu, a to dokonca pred prihlásením
- keď skript potrebuje prístup k verifikačnému kódu, zavolá funkciu formCaptcha(). Táto funkcia zavolá program /usr/sbin/captcha na vygenerovanie CAPTCHA obrázka s názvom <rtick>.gif, kde rtick je parameter, prevzaný bez akejkoľvek kontroly od používateľa. Toto opäť umožnuje útočníkovi možnosť vykonať popri legitímnom programe /usr/sbin/captcha aj škodlivý kód
Spôsoby zneužitia
Zraniteľnosť je aktívne zneužívaná viacerými skupinami útočníkov na rôzne ciele, napríklad
- neznáma skupina útočníkov prostredníctvom nej získava prihlasovacie mená a heslá, keď sa cez napadnuté zariadenie používatelia pripájajú na e-mail a FTP servery
- iná skupina útočníkov si zatiaľ len buduje infraštruktúru napadnutých zariadení na neskoršie použitie, vytváraním tzv. zadných vrátok, ktoré môžu zostať aktívne aj po aktualizácii zariadenia. Na zariadení si okrem iného vytvoria účet “wuwuhanhan” s heslom “caonimuqin”
- výskumníci z Palo Alto[2] zistili, že túto zraniteľnosť tiež aktívne využíva botnet Hoaxcalls na vykonávanie DDoS útokov. Hoaxcalls malvér, ktorý beží na napadnutých zariadeniach, komunikuje s riadiacim serverom cez IRC komunikačný protokol. Útočníkovi poskytuje široké spektrum možností na distribuované DoS útoky
Odporúčania
Používateľom odporúčame čo najskôr aktualizovať firmvér svojich zariadení na najnovšiu verziu, minimálne na verziu 1.5.1. Ďalej odporúčame vykonať aj ďalšie opatrenia na predchádzanie zneužitia daných zariadení:
- neodporúčame administrovať zariadenie cez vzdialený prístup – túto funkciu zariadenia je dôležité mať úplne vypnutú
- Skontrolujte, či neexistujú ďalšie profily a používatelia, ktorí majú povolený vzdialený prístup, napríklad VPN alebo administrátorské účty
- Ak vykonávate aktualizáciu, zálohujte si pred tým nastavenia zariadenia
- Po aktualizácii sa ubezpečte, že bola nainštalovaná najnovšia aktualizácia zariadenia
- Skúseným používateľom odporúčame povoliť a monitorovať systémové logy, pričom sa zameriavajte sa na neštandardné správanie
Zraniteľné zariadenia sa na základe monitoringu otvorených zdrojov nachádzajú aj na Slovensku, nakoľko boli dodávané ako súčasť služieb niektorých poskytovateľov internetu a takisto boli voľne v predaji.
Spolu s ostatnými kritickými zraniteľnosťami ostatných zariadení je aj zraniteľnosť produktov DrayTek dôležitým pripomenutím, že pravidelná aktualizácia je nesmierne dôležitá a zabraňuje rozsiahlym škodám v infraštruktúre organizácií, ale aj v domácnostiach jednotlivcov.
Zdroje:
[1] https://blog.netlab.360.com/two-zero-days-are-targeting-draytek-broadband-cpe-devices-en/
[2] https://unit42.paloaltonetworks.com/new-hoaxcalls-ddos-botnet/
« Späť na zoznam
