Нови открития на VulnCheck показват, че сериозен недостатък, засягащ индустриални клетъчни рутери от Milesight, може да е бил използван активно при реални атаки.
Проследена като CVE-2023-43261 (CVSS оценка: 7,5), уязвимостта е описана като случай на разкриване на информация, който засяга маршрутизаторите UR5X, UR32L, UR32, UR35 и UR41 преди версия 35.3.0.7, който може да позволи на атакуващите да получат достъп до дневници като httpd.log, както и до други чувствителни данни.
В резултат на това това може да позволи на отдалечени и неавтентифицирани нападатели да получат неоторизиран достъп до уеб интерфейса, като по този начин направят възможно конфигурирането на VPN сървъри и дори отпадането на защитите на защитната стена.
„Тази уязвимост става още по-сериозна, тъй като някои рутери позволяват изпращането и получаването на SMS съобщения“, заяви по-рано този месец изследователят по сигурността Бипин Джития, който откри проблема. „Атакуващият може да се възползва от тази функционалност за измамни дейности, като потенциално може да причини финансови щети на собственика на рутера.“
Сега според Джейкъб Бейнс от VulnCheck има доказателства, че недостатъкът може да е бил използван в малък мащаб в реалността.
„Наблюдавахме, че 5.61.39[.]232 се опитва да влезе в шест системи на 2 октомври 2023 г.“, казва Бейнс. „IP адресите на засегнатите системи са геолокализирани във Франция, Литва и Норвегия. Те не изглеждат свързани и всички използват различни идентификационни данни, които не са по подразбиране.“
На четири от шестте машини се твърди, че хакерътсе е удостоверил успешно при първия опит. На петата система влизането е успешно от втория път, а на шестата удостоверяването е завършило с неуспех.
Удостоверителните данни, използвани за осъществяване на атаката, са извлечени от httpd.log, което намеква за използване на оръжието CVE-2023-43261. Няма доказателства за по-нататъшни злонамерени действия, въпреки че изглежда, че неизвестният извършител е проверил страниците с настройки и състояние.
Според VulnCheck, въпреки че има приблизително 5500 рутера Milesight, които са изложени на риск в интернет, само около 5% от тях са с уязвими версии на фърмуера и следователно са податливи на дефекта.
„Ако разполагате с индустриален клетъчен рутер Milesight, вероятно е разумно да приемете, че всички идентификационни данни на системата са компрометирани, и просто да генерирате нови, както и да се уверите, че нито един интерфейс не е достъпен през интернет“, казва Бейнс.
Открити са шест недостатъка в сървърите Titan MFT и Titan SFTP
Разкритието идва в момент, когато Rapid7 подробно описа няколко недостатъка в сигурността на сървърите Titan MFT и Titan SFTP на South River Technologies, които, ако бъдат използвани, могат да позволят отдалечен достъп на суперпотребител до засегнатите хостове.
Списъкът с уязвимостите е следният –
- CVE-2023-45685 – автентицирано отдалечено изпълнение на код чрез „Zip Slip“
- CVE-2023-45686 – автенти цираноотдалечено изпълнение на код чрез WebDAV Path Traversal
- CVE-2023-45687 – Фиксиране на сесията в сървъра за отдалечено администриране
- CVE-2023-45688 – Разкриване на информация чрез преминаване на път в FTP
- CVE-2023-45689 – Разкриване на информация чрез обхождане на пътища в интерфейса на администратора
- CVE-2023-45690 – изтичане на информация чрез база данни, която може да бъде прочетена от целия свят, и дневници
„Успешното използване на няколко от тези проблеми предоставя на нападателя възможност за отдалечено изпълнение на код като потребител root или SYSTEM“, заявиха от компанията. „Всички проблеми обаче са след удостоверяване на автентичността и изискват конфигурации, различни от тези по подразбиране, поради което е малко вероятно да се стигне до широкомащабна експлоатация.“
