WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Bộ định tuyến DrayTek tồn tại lỗi RCE nghiêm trọng – Hãy vá ngay!
Các doanh nghiệp vừa và nhỏ cần vá lỗ hổng CVE-2022-32548 ngay lập tức để tránh trở thành nạn nhân của các cuộc tấn công mạng.
Một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng được xác định trong bộ định tuyến DrayTek Vigor dành cho các doanh nghiệp nhỏ. Nếu bị khai thác, lỗ hổng có thể cho phép hacker chiếm quyền điều khiển toàn bộ thiết bị và truy cập vào mạng rộng hơn.
Lỗ hổng (CVE-2022-32548) có điểm CVSS là 10/10, cho phép kẻ tấn công RCE trước khi xác thực từ đó xâm phạm thiết bị mà không cần bất kỳ kỹ thuật xã hội (social engineering) hoặc tương tác người dùng, theo công ty nghiên cứu Trellix.
Các bộ định tuyến DrayTek thường được các doanh nghiệp vừa và nhỏ (SMB) sử dụng để cấp quyền truy cập VPN cho nhân viên, được triển khai rộng rãi ở cả Mỹ, khắp châu Á và châu Âu, đặc biệt là ở Anh.
Theo Trellix, cuộc tấn công zero-click có thể xảy ra nếu giao diện quản lý của thiết bị có hiện diện trên Internet. Nhưng ngay cả khi không được public, thì với quyền truy cập vào mạng LAN, tin tặc có thể phát động tấn công bằng một cú nhấp chuột.
Theo thống kê trên Shodan, toàn thế giới đang sử dụng hơn 700.000 sản phẩm DrayTek và có hơn 200.000 thiết bị bị ảnh hưởng bởi lỗ hổng này. Tại Việt Nam có hơn 140.000 sản phẩm của hãng đang được sử dụng.
Cho đến nay, không có dấu hiệu cho thấy lỗ hổng đang bị khai thác. Tuy nhiên, vì lỗ hổng đã được tiết lộ, quản trị viên cần áp dụng các bản cập nhật firmware dành riêng cho thiết bị của họ ngay lập tức.
Các phiên bản bị ảnh hưởng
Lỗi này đặc biệt ảnh hưởng đến Vigor 3910 và 28 mẫu DrayTek khác cùng sử dụng một codebase. Theo Trellix, lỗi này bắt nguồn từ sự cố tràn bộ đệm trong trang đăng nhập cho giao diện quản lý Web của thiết bị (/cgi-bin/wlogin.cgi).
Các phiên bản bị ảnh hưởng bao gồm:
Demo cách khai thác
Như được hiển thị trong video khai thác (PoC), kẻ tấn công có thể chiếm quyền điều hành DrayOS triển khai các chức năng của bộ định tuyến.
“Trên các thiết bị sử dụng hệ điều hành Linux cơ bản (chẳng hạn như Vigor 3910), có thể chuyển sang hệ điều hành cơ bản và thiết lập một chỗ đứng đáng tin cậy trên thiết bị và mạng cục bộ. Thiết bị chạy DrayOS dưới dạng hệ điều hành bare-metal sẽ khó bị xâm phạm hơn vì đòi hỏi kẻ tấn công phải hiểu rõ hơn về nội bộ của DrayOS”.
Biện pháp bảo vệ
Để đảm bảo an toàn, các doanh nghiệp sử dụng bộ định tuyến DrayTek cần đảm bảo vá lỗi và cập nhật firmware.
Ngoài ra, các quản trị viên không nên để lộ giao diện quản lý trên Internet trừ khi thực sự được yêu cầu; và nếu có, nên triển khai xác thực hai yếu tố (2FA) và các hạn chế IP để giảm thiểu rủi ro.
Sau khi áp dụng bản vá, quản trị viên cũng phải xác minh rằng tính năng sao chép cổng, cài đặt DNS, quyền truy cập VPN và bất kỳ cài đặt liên quan nào khác không bị can thiệp trong giao diện quản lý. Và nên thay đổi mật khẩu của thiết bị và thu hồi bất kỳ secret nào được lưu trữ trên bộ định tuyến.
Với những công ty không thể vá lỗi ngay lập tức, nên ưu tiên theo dõi các nỗ lực tấn công.
Một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng được xác định trong bộ định tuyến DrayTek Vigor dành cho các doanh nghiệp nhỏ. Nếu bị khai thác, lỗ hổng có thể cho phép hacker chiếm quyền điều khiển toàn bộ thiết bị và truy cập vào mạng rộng hơn.
Lỗ hổng (CVE-2022-32548) có điểm CVSS là 10/10, cho phép kẻ tấn công RCE trước khi xác thực từ đó xâm phạm thiết bị mà không cần bất kỳ kỹ thuật xã hội (social engineering) hoặc tương tác người dùng, theo công ty nghiên cứu Trellix.
Các bộ định tuyến DrayTek thường được các doanh nghiệp vừa và nhỏ (SMB) sử dụng để cấp quyền truy cập VPN cho nhân viên, được triển khai rộng rãi ở cả Mỹ, khắp châu Á và châu Âu, đặc biệt là ở Anh.
Theo Trellix, cuộc tấn công zero-click có thể xảy ra nếu giao diện quản lý của thiết bị có hiện diện trên Internet. Nhưng ngay cả khi không được public, thì với quyền truy cập vào mạng LAN, tin tặc có thể phát động tấn công bằng một cú nhấp chuột.
Theo thống kê trên Shodan, toàn thế giới đang sử dụng hơn 700.000 sản phẩm DrayTek và có hơn 200.000 thiết bị bị ảnh hưởng bởi lỗ hổng này. Tại Việt Nam có hơn 140.000 sản phẩm của hãng đang được sử dụng.
Cho đến nay, không có dấu hiệu cho thấy lỗ hổng đang bị khai thác. Tuy nhiên, vì lỗ hổng đã được tiết lộ, quản trị viên cần áp dụng các bản cập nhật firmware dành riêng cho thiết bị của họ ngay lập tức.
Các phiên bản bị ảnh hưởng
Lỗi này đặc biệt ảnh hưởng đến Vigor 3910 và 28 mẫu DrayTek khác cùng sử dụng một codebase. Theo Trellix, lỗi này bắt nguồn từ sự cố tràn bộ đệm trong trang đăng nhập cho giao diện quản lý Web của thiết bị (/cgi-bin/wlogin.cgi).
Các phiên bản bị ảnh hưởng bao gồm:
- Vigor3910 < 4.3.1.1
- Vigor1000B < 4.3.1.1
- Vigor2962 Series < 4.3.1.1
- Vigor2927 Series < 4.4.0
- Vigor2927 LTE Series < 4.4.0
- Vigor2915 Series < 4.3.3.2
- Vigor2952 / 2952P < 3.9.7.2
- Vigor3220 Series < 3.9.7.2
- Vigor2926 Series < 3.9.8.1
- Vigor2926 LTE Series < 3.9.8.1
- Vigor2862 Series < 3.9.8.1
- Vigor2862 LTE Series < 3.9.8.1
- Vigor2620 LTE Series < 3.9.8.1
- VigorLTE 200n < 3.9.8.1
- Vigor2133 Series < 3.9.6.4
- Vigor2762 Series < 3.9.6.4
- Vigor167 < 5.1.1
- Vigor130 < 3.8.5
- VigorNIC 132 < 3.8.5
- Vigor165 < 4.2.4
- Vigor166 < 4.2.4
- Vigor2135 Series < 4.4.2
- Vigor2765 Series < 4.4.2
- Vigor2766 Series < 4.4.2
- Vigor2832 < 3.9.6
- Vigor2865 Series < 4.4.0
- Vigor2865 LTE Series < 4.4.0
- Vigor2866 Series < 4.4.0
- Vigor2866 LTE Series < 4.4.0
Demo cách khai thác
Như được hiển thị trong video khai thác (PoC), kẻ tấn công có thể chiếm quyền điều hành DrayOS triển khai các chức năng của bộ định tuyến.
“Trên các thiết bị sử dụng hệ điều hành Linux cơ bản (chẳng hạn như Vigor 3910), có thể chuyển sang hệ điều hành cơ bản và thiết lập một chỗ đứng đáng tin cậy trên thiết bị và mạng cục bộ. Thiết bị chạy DrayOS dưới dạng hệ điều hành bare-metal sẽ khó bị xâm phạm hơn vì đòi hỏi kẻ tấn công phải hiểu rõ hơn về nội bộ của DrayOS”.
Biện pháp bảo vệ
Để đảm bảo an toàn, các doanh nghiệp sử dụng bộ định tuyến DrayTek cần đảm bảo vá lỗi và cập nhật firmware.
Ngoài ra, các quản trị viên không nên để lộ giao diện quản lý trên Internet trừ khi thực sự được yêu cầu; và nếu có, nên triển khai xác thực hai yếu tố (2FA) và các hạn chế IP để giảm thiểu rủi ro.
Sau khi áp dụng bản vá, quản trị viên cũng phải xác minh rằng tính năng sao chép cổng, cài đặt DNS, quyền truy cập VPN và bất kỳ cài đặt liên quan nào khác không bị can thiệp trong giao diện quản lý. Và nên thay đổi mật khẩu của thiết bị và thu hồi bất kỳ secret nào được lưu trữ trên bộ định tuyến.
Với những công ty không thể vá lỗi ngay lập tức, nên ưu tiên theo dõi các nỗ lực tấn công.
Theo Dark Reading
Chỉnh sửa lần cuối bởi người điều hành: