Security Week 2441: уязвимости в роутерах DrayTek
На прошлой неделе компания Forescout выложила подробный отчет об обнаружении 14 уязвимостей в роутерах тайваньской компании DrayTek, используемых, как правило, в корпоративном окружении. Одна из уязвимостей имеет максимальный рейтинг 10 баллов по шкале CVSS v3 и может приводить к выполнению произвольного кода.
Всего уязвимостям подвержены 24 модели роутеров данного производителя, из которых 11 официально более не поддерживаются производителем. Впрочем, несмотря на это, обновления прошивок, устраняющих уязвимости, выпущены для всех затронутых устройств и доступны на сайте производителя. В устаревших роутерах была закрыта только одна, наиболее опасная, уязвимость.
Уязвимость с десятибалльным рейтингом имеет идентификатор CVE-2024–41592 и относится к функции GetCGI () веб-интерфейса. Это проблема переполнения буфера при обработке данных от клиента. Эксплуатация уязвимостей подобного рода либо невозможна, либо затруднена, если веб-интерфейс роутера доступен только из локальной сети. В отчете Forescout приводится показательная статистика: веб-интерфейс более чем 700 тысяч устройств DrayTek все же доступен из Интернета.
Исследователи подробно проанализировали версии прошивок этих доступных всем устройств и обнаружили большое разнообразие: всего 686 уникальных версий ПО. Наиболее популярная (установленная на 8,5% устройств) прошивка — достаточно древняя, выпущенная в 2018 году. Самая последняя на момент исследования прошивка была установлена всего на 3% устройств. В этой очень интересной статистике также учтен статус поддержки устройств производителем: почти половина (43%) доступных из Интернета и, соответственно, активно эксплуатируемых роутеров имеют статус end of life.
Помимо уязвимости CVE-2024–41592 было обнаружено еще шесть проблем в коде веб-интерфейса. Все они имеют рейтинг CVSS 7,2 и способны приводить в «лучшем» случае к отказу в обслуживании, а в худшем — также могут быть использованы для выполнения произвольного кода и перехвата контроля над роутером. Менее опасные уязвимости относятся к типу XSS.
Из 24 подверженных роутеров две трети предназначены для малого и среднего бизнеса. В списке присутствует также одна модель для крупных организаций, в которой обнаружены уязвимости в системе виртуализации. Среди подверженных моделей — DrayTek Vigor1000B, Vigor2962, Vigor3912 и другие. Модель 3912 является показательным примером того, насколько опасной может быть компрометация устройства: этот «роутер» правильнее называть сервером с поддержкой 10-гигабитного сетевого подключения, с мощным процессором и опциональным встроенным SSD. Потенциально такое взломанное устройство может использоваться не только для отслеживания сетевого трафика и дальнейшего развития атаки в локальной сети, но и работать командным сервером для проведения других кибератак.
В отчете Forescout также приводятся данные о ранее обнаруженных уязвимостях в роутерах DrayTek, что позволяет оценить как частоту обнаружения проблем, так и в целом их количество. С 2020 по 2023 год в устройствах компании было найдено 18 уязвимостей, потенциально приводящих к перехвату контроля над устройством; 14 из них имеют близкий к максимальному рейтинг 9,8 балла из 10 возможных, что говорит о максимально легком сценарии эксплуатации.
Что еще произошло
«Лаборатория Касперского» публикует очередной отчет о наиболее популярных трекерах в сети на основе статистики, собранной с июля 2023 по июнь 2024 года. Под трекерами подразумевается ряд технологий для отслеживания пользовательской активности, от «невидимых пикселей» до файлов cookie. В топе наиболее широко представленных сервисов, отслеживающих активность пользователя — Google, Amazon, Criteo, трекеры YouTube. Относительный новичок в рейтинге — сервис компании New Relic. В странах СНГ среди лидеров также присутствуют «Яндекс Метрика» и Mail.ru.
Компания Cloudflare отчиталась о предотвращении рекордной DDoS-атаки с пиковой мощностью 3,8 терабита в секунду.
В свежем обновлении мобильных ОС iOS и iPadOS до версии 18.0.1 компания Apple закрыла неприятный баг, при котором голосовой помощник, читающий содержимое экрана, мог также вслух декламировать пользовательские пароли.
Крайне неприятный баг попал в обновление прошивки ряда неновых смартфонов Samsung, включая модели Galaxy S10, Note 10 и A90. После установки обновления в некоторых случаях смартфоны уходили в циклическую перезагрузку. Решалась проблема исключительно сбросом телефона до заводских настроек при помощи меню восстановления. Но вытащить данные до хард-ресета не было никакой возможности.