Нови открития на VulnCheck показват, че сериозен недостатък, засягащ индустриални клетъчни рутери от Milesight, може да е бил използван активно при реални атаки.
Проследена като CVE-2023-43261 (CVSS оценка: 7,5), уязвимостта е описана като случай на разкриване на информация, който засяга маршрутизаторите UR5X, UR32L, UR32, UR35 и UR41 преди версия 35.3.0.7, който може да позволи на атакуващите да получат достъп до дневници като httpd.log, както и до други чувствителни данни.
В резултат на това това може да позволи на отдалечени и неавтентифицирани нападатели да получат неоторизиран достъп до уеб интерфейса, като по този начин направят възможно конфигурирането на VPN сървъри и дори отпадането на защитите на защитната стена.
„Тази уязвимост става още по-сериозна, тъй като някои рутери позволяват изпращането и получаването на SMS съобщения“, заяви по-рано този месец изследователят по сигурността Бипин Джития, който откри проблема. „Атакуващият може да се възползва от тази функционалност за измамни дейности, като потенциално може да причини финансови щети на собственика на рутера.“
Сега според Джейкъб Бейнс от VulnCheck има доказателства, че недостатъкът може да е бил използван в малък мащаб в реалността.
„Наблюдавахме, че 5.61.39[.]232 се опитва да влезе в шест системи на 2 октомври 2023 г.“, казва Бейнс. „IP адресите на засегнатите системи са геолокализирани във Франция, Литва и Норвегия. Те не изглеждат свързани и всички използват различни идентификационни данни, които не са по подразбиране.“
На четири от шестте машини се твърди, че хакерътсе е удостоверил успешно при първия опит. На петата система влизането е успешно от втория път, а на шестата удостоверяването е завършило с неуспех.
Удостоверителните данни, използвани за осъществяване на атаката, са извлечени от httpd.log, което намеква за използване на оръжието CVE-2023-43261. Няма доказателства за по-нататъшни злонамерени действия, въпреки че изглежда, че неизвестният извършител е проверил страниците с настройки и състояние.
Според VulnCheck, въпреки че има приблизително 5500 рутера Milesight, които са изложени на риск в интернет, само около 5% от тях са с уязвими версии на фърмуера и следователно са податливи на дефекта.
„Ако разполагате с индустриален клетъчен рутер Milesight, вероятно е разумно да приемете, че всички идентификационни данни на системата са компрометирани, и просто да генерирате нови, както и да се уверите, че нито един интерфейс не е достъпен през интернет“, казва Бейнс.
Разкритието идва в момент, когато Rapid7 подробно описа няколко недостатъка в сигурността на сървърите Titan MFT и Titan SFTP на South River Technologies, които, ако бъдат използвани, могат да позволят отдалечен достъп на суперпотребител до засегнатите хостове.
Списъкът с уязвимостите е следният –
„Успешното използване на няколко от тези проблеми предоставя на нападателя възможност за отдалечено изпълнение на код като потребител root или SYSTEM“, заявиха от компанията. „Всички проблеми обаче са след удостоверяване на автентичността и изискват конфигурации, различни от тези по подразбиране, поради което е малко вероятно да се стигне до широкомащабна експлоатация.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.