Security Week 2441: уязвимости в роутерах DrayTek

На прошлой неделе компания Forescout выложила подробный отчет об обнаружении 14 уязвимостей в роутерах тайваньской компании DrayTek, используемых, как правило, в корпоративном окружении. Одна из уязвимостей имеет максимальный рейтинг 10 баллов по шкале CVSS v3 и может приводить к выполнению произвольного кода.

eljrxzil4bmovoy2t9-noaqi24m.jpeg

Всего уязвимостям подвержены 24 модели роутеров данного производителя, из которых 11 официально более не поддерживаются производителем. Впрочем, несмотря на это, обновления прошивок, устраняющих уязвимости, выпущены для всех затронутых устройств и доступны на сайте производителя. В устаревших роутерах была закрыта только одна, наиболее опасная, уязвимость.
Уязвимость с десятибалльным рейтингом имеет идентификатор CVE-2024–41592 и относится к функции GetCGI () веб-интерфейса. Это проблема переполнения буфера при обработке данных от клиента. Эксплуатация уязвимостей подобного рода либо невозможна, либо затруднена, если веб-интерфейс роутера доступен только из локальной сети. В отчете Forescout приводится показательная статистика: веб-интерфейс более чем 700 тысяч устройств DrayTek все же доступен из Интернета.

Исследователи подробно проанализировали версии прошивок этих доступных всем устройств и обнаружили большое разнообразие: всего 686 уникальных версий ПО. Наиболее популярная (установленная на 8,5% устройств) прошивка — достаточно древняя, выпущенная в 2018 году. Самая последняя на момент исследования прошивка была установлена всего на 3% устройств. В этой очень интересной статистике также учтен статус поддержки устройств производителем: почти половина (43%) доступных из Интернета и, соответственно, активно эксплуатируемых роутеров имеют статус end of life.

Помимо уязвимости CVE-2024–41592 было обнаружено еще шесть проблем в коде веб-интерфейса. Все они имеют рейтинг CVSS 7,2 и способны приводить в «лучшем» случае к отказу в обслуживании, а в худшем — также могут быть использованы для выполнения произвольного кода и перехвата контроля над роутером. Менее опасные уязвимости относятся к типу XSS.

Из 24 подверженных роутеров две трети предназначены для малого и среднего бизнеса. В списке присутствует также одна модель для крупных организаций, в которой обнаружены уязвимости в системе виртуализации. Среди подверженных моделей — DrayTek Vigor1000B, Vigor2962, Vigor3912 и другие. Модель 3912 является показательным примером того, насколько опасной может быть компрометация устройства: этот «роутер» правильнее называть сервером с поддержкой 10-гигабитного сетевого подключения, с мощным процессором и опциональным встроенным SSD. Потенциально такое взломанное устройство может использоваться не только для отслеживания сетевого трафика и дальнейшего развития атаки в локальной сети, но и работать командным сервером для проведения других кибератак.

В отчете Forescout также приводятся данные о ранее обнаруженных уязвимостях в роутерах DrayTek, что позволяет оценить как частоту обнаружения проблем, так и в целом их количество. С 2020 по 2023 год в устройствах компании было найдено 18 уязвимостей, потенциально приводящих к перехвату контроля над устройством; 14 из них имеют близкий к максимальному рейтинг 9,8 балла из 10 возможных, что говорит о максимально легком сценарии эксплуатации.

Что еще произошло

«Лаборатория Касперского» публикует очередной отчет о наиболее популярных трекерах в сети на основе статистики, собранной с июля 2023 по июнь 2024 года. Под трекерами подразумевается ряд технологий для отслеживания пользовательской активности, от «невидимых пикселей» до файлов cookie. В топе наиболее широко представленных сервисов, отслеживающих активность пользователя — Google, Amazon, Criteo, трекеры YouTube. Относительный новичок в рейтинге — сервис компании New Relic. В странах СНГ среди лидеров также присутствуют «Яндекс Метрика» и Mail.ru.

Компания Cloudflare отчиталась о предотвращении рекордной DDoS-атаки с пиковой мощностью 3,8 терабита в секунду.

В свежем обновлении мобильных ОС iOS и iPadOS до версии 18.0.1 компания Apple закрыла неприятный баг, при котором голосовой помощник, читающий содержимое экрана, мог также вслух декламировать пользовательские пароли.

Крайне неприятный баг попал в обновление прошивки ряда неновых смартфонов Samsung, включая модели Galaxy S10, Note 10 и A90. После установки обновления в некоторых случаях смартфоны уходили в циклическую перезагрузку. Решалась проблема исключительно сбросом телефона до заводских настроек при помощи меню восстановления. Но вытащить данные до хард-ресета не было никакой возможности.

© Habrahabr.ru