Cientos de miles de usuarios de múltiples enrutadores DrayTek para oficinas pequeñas y domésticas (SOHO) necesitan parchear sus dispositivos inmediatamente después de la revelación de una vulnerabilidad de ejecución remota de código (RCE) no autenticada en DrayTek Vigor 3910 y otros 28 modelos que comparten la misma base de código.
La vulnerabilidad, a la que se asignó CVE-2022-32548, fue descubierta por el equipo de investigación de vulnerabilidades de Trellix (anteriormente McAfee y FireEye) Threat Labs y, si no se corrige, la cadena de ataque resultante se puede realizar sin ninguna interacción del usuario si la interfaz de administración del dispositivo queda expuesto a Internet. Un atacante también podría realizar un ataque con un solo clic desde dentro de la red de área local (LAN) en la configuración predeterminada del dispositivo.
En última instancia, la cadena de ataque conduce al compromiso total del dispositivo y al acceso no autorizado a los recursos internos, lo que genera una serie de resultados, incluido el robo de datos y la implementación de ransomware.
Según los datos extraídos de Shodan, puede haber más de 700 000 dispositivos vulnerables en la naturaleza, y más de 250 000 de ellos se encuentran en el Reino Unido. Trellix estima que del total, 200.000 son vulnerables al primer ataque descrito y muchos más al segundo.
Aunque las vulnerabilidades reveladas en el hardware de TI dirigidas firmemente al segmento SOHO pueden no parecer tan peligrosas de inmediato como algo como Log4Shell o ProxyLogon, pueden tener el mismo impacto, especialmente dada la prevalencia del trabajo remoto, que ha dejado a muchas organizaciones, incluidas las grandes, más dependientes de la TI del consumidor de lo que les gustaría a sus equipos de seguridad. No es sorprendente que los actores maliciosos sean sabios al respecto.
Recientemente, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó un aviso que detalla la explotación patrocinada por el estado de los enrutadores SOHO por parte de actores de amenazas persistentes avanzadas (APT) vinculados al gobierno chino, y entre las vulnerabilidades en la lista de CISA estaba un error revelado anteriormente. en kit DrayTek.
Douglas McKee, ingeniero principal y jefe de investigación de vulnerabilidades de Trellix, dijo: “¿Por qué es importante otra vulnerabilidad en un enrutador SOHO?
“Porque en 2019, el sistema de detección de amenazas 360Netlab observó dos grupos de ataque diferentes que usaban dos vulnerabilidades de día cero dirigidas a varios enrutadores empresariales DrayTek Vigor; porque en marzo de 2022, Barracuda informó que las pequeñas empresas tienen tres veces más probabilidades de ser atacadas por ciberdelincuentes que las empresas más grandes; porque el mes pasado, se observó que el malware ZuoRAT infectaba a numerosos fabricantes de enrutadores SOHO, incluidos Asus, Cisco, DrayTek y Netgear.
“En resumen, es importante porque los principales actores de amenazas como China dictan que es importante. Los dispositivos perimetrales en sí mismos, como los enrutadores y los cortafuegos, son bastante poco interesantes, sin embargo, estos dispositivos son la puerta de entrada que protege los puntos débiles de las empresas”.
McKee agregó: “Una vez comprometida, es la puerta abierta al resto de una red que atrae al adversario para realizar el mismo nivel de investigación que realiza nuestro equipo. Un dispositivo de borde comprometido puede provocar el robo de propiedad intelectual, la pérdida de datos confidenciales de clientes o empleados, el acceso a las imágenes de las cámaras, la oportunidad de simplificar la implementación de ransomware y, en algunos casos, un punto de apoyo en una red en los años venideros”.
Además de descargar y aplicar el parche, es posible que los usuarios de DrayTek deseen acceder a la interfaz de administración de su dispositivo para verificar que la duplicación de puertos, la configuración de DNS, el acceso VPN autorizado y otras configuraciones relevantes no hayan sido alteradas.
Los usuarios también deben asegurarse de que la interfaz de administración del dispositivo no esté expuesta a Internet a menos que sea absolutamente necesario, en cuyo caso deben habilitar la autenticación multifactor y la restricción de IP, y cambiar las contraseñas en los dispositivos afectados.
Trellix reconoció la respuesta rápida y efectiva de DrayTek a su divulgación y dijo: “Aplaudimos a DrayTek por su gran capacidad de respuesta y el lanzamiento de un parche menos de 30 días después de que divulgamos la vulnerabilidad a su equipo de seguridad. Este tipo de capacidad de respuesta y relación muestra la verdadera madurez de la organización y el impulso para mejorar la seguridad en toda la industria”.
Una lista completa de los modelos de enrutadores vulnerables, así como más detalles técnicos de la cadena de ataque, está disponible en Trellix.
