 |
| ↯ [Cảnh Báo] Lỗi Bảo Mật Router DrayTek ↯ |
Một loạt lỗ hổng nghiêm trọng trong bộ định tuyến DrayTek Vigor được triển khai rộng rãi trong môi trường doanh nghiệp/văn phòng tại nhà nhỏ (SOHO) đã được phát hiện, khiến thiết bị có nguy cơ bị thực thi mã từ xa (RCE), tấn công từ chối dịch vụ (DoS) và đánh cắp thông tin đăng nhập.
Các lỗ hổng được phát hiện trong quá trình phân tích kỹ thuật đảo ngược phần mềm làm nổi bật điểm yếu về bảo mật hệ thống trong các bộ định tuyến đóng vai trò là cổng kết nối giữa mạng LAN cục bộ và internet.
Các nhà nghiên cứu đã xác định được tám mã CVE, bao gồm các điểm yếu trong cơ chế xác thực, cập nhật mô-đun hạt nhân và triển khai giao thức, có thể cho phép kẻ tấn công vượt qua các biện pháp kiểm soát bảo mật, thực thi mã tùy ý hoặc làm hỏng thiết bị.
 |
| Các Thiết Bị Router DrayTek Có Thể Bị Khai Thác Tấn Công RCE |
#._ Lỗi xác thực và mã hóa
Nhóm Faraday báo cáo hai lỗ hổng bảo mật, CVE-2024-41335 và CVE-2024-41336, làm suy yếu khả năng bảo vệ xác thực.
Phương pháp đầu tiên tận dụng các so sánh thời gian không cố định trong các hàm kiểm tra mật khẩu như strcmp và memcmp, cho phép tấn công theo thời gian để trích xuất thông tin đăng nhập.
Cách thứ hai lưu trữ mật khẩu dưới dạng văn bản thuần túy, cho phép kẻ tấn công có quyền truy cập vật lý hoặc bộ nhớ để lấy thông tin đăng nhập trực tiếp.
Ngoài ra, CVE chưa được chỉ định sẽ tiết lộ việc tạo mã xác thực hai yếu tố (2FA) có thể dự đoán được liên quan đến thời gian hoạt động của bộ định tuyến.
Bằng cách kết hợp lỗ hổng này với lỗ hổng DoS như CVE-2024-41338, kẻ tấn công có thể buộc khởi động lại, dự đoán mã 2FA mới và vượt qua chế độ bảo vệ đăng nhập.
#._ Khai thác modul hạt nhân và thực thi mã
Các lỗ hổng nghiêm trọng nhất cho phép RCE thông qua thao tác mô-đun hạt nhân. CVE-2024-41339 khai thác điểm cuối cấu hình CGI không được ghi chép lại chấp nhận tải lên mô-đun hạt nhân được ngụy trang dưới dạng tệp cấu hình.
Kẻ tấn công có thể sử dụng điều này để cài đặt các mô-đun độc hại, giành quyền truy cập gốc. Tương tự, CVE-2024-41340 và CVE-2024-41334 nhắm vào hệ thống chữ ký APP Enforcement (APPE) của DrayTek.
Phương pháp trước cho phép tải lên chữ ký tùy ý, trong khi phương pháp sau vô hiệu hóa xác thực chứng chỉ SSL trong quá trình cập nhật, cho phép các cuộc tấn công trung gian đẩy các mô-đun độc hại.
Những lỗ hổng này cùng nhau cho phép kẻ tấn công chưa xác thực chiếm quyền điều khiển cơ chế cập nhật chương trình cơ sở và triển khai các tải trọng liên tục.
 |
| Các Đơn Vị Có Sử Dụng Thiết Bị DrayTek - Nên Thuê Dịch Vụ IT Khắc Phục Sự Cố |
#._ Lỗ tràn bộ nhớ đệm
Hai lỗ hổng tràn bộ nhớ—CVE-2024-51138 và CVE-2024-51139—gây ra những rủi ro nghiêm trọng.
Đầu tiên là lỗi tràn bộ đệm dựa trên ngăn xếp trong trình phân tích URL của máy chủ TR069 STUN, được kích hoạt bởi các yêu cầu chưa được xác thực.
Khi TR069 và STUN được bật (thường gặp trong môi trường NAT), điều này cho phép xâm phạm toàn bộ hệ thống.
Thứ hai, lỗi tràn số nguyên trong quá trình xử lý yêu cầu HTTP POST của trình phân tích cú pháp CGI, phân bổ sai bộ nhớ dựa trên tiêu đề Content-Length bị thao túng, dẫn đến tràn bộ nhớ heap và RCE.
Cả hai lỗ hổng đều không yêu cầu xác thực và có thể khai thác từ xa.
Các lỗ hổng bảo mật ảnh hưởng đến nhiều mẫu bộ định tuyến DrayTek , mức độ nghiêm trọng khác nhau tùy theo phiên bản phần mềm:
CVE-2024-41334 đến CVE-2024-41338: Vigor165/166 (trước 4.2.6), Vigor2620/LTE200 (trước 3.9.8.8), Vigor2860/2925 (trước 3.9.7) và Vigor2133/2762/2832 (trước 3.9.8).CVE-2024-41339 và CVE-2024-41340: Vigor2862/2926 (trước 3.9.9.5), Vigor2135/2765/2766 (trước 4.4.5.1) và Vigor2962/3910 (trước 4.3.2.8).CVE-2024-51138 và CVE-2024-51139: Vigor2620/LTE200 (trước 3.9.9.1), Vigor2865/2866/2927 (trước 4.4.5.8) và Vigor3912 (trước 4.4.3.2).
#._ Giảm thiểu và khuyến nghị >>>
DrayTek vẫn chưa phát hành bản vá cho tất cả các lỗ hổng, để lại cho người quản trị triển khai các giải pháp thay thế. Các bước quan trọng bao gồm:
- Vô hiệu hóa các dịch vụ TR069 và STUN khi không cần thiết để giảm thiểu CVE-2024-51138.
- Nâng cấp chương trình cơ sở lên phiên bản mới nhất cho các mẫu máy bị ảnh hưởng (ví dụ: Vigor2860/2925 lên 3.9.8 hoặc cao hơn).
- Thực hiện phân đoạn mạng để cô lập bộ định tuyến khỏi các hệ thống nội bộ nhạy cảm.
- Theo dõi hoạt động bất thường, chẳng hạn như thay đổi cấu hình hoặc cài đặt mô-đun bất ngờ.
Các nhà nghiên cứu sẽ tiết lộ thông tin chi tiết kỹ thuật về CVE-2024-51138 và CVE-2024-51139 tại DEFCON 32 HHV và Ekoparty 2024, nhấn mạnh tính cấp thiết của việc giảm thiểu phòng ngừa.
Các doanh nghiệp phụ thuộc vào thiết bị DrayTek nên thuê dịch vụ IT có kinh nghiệm để đánh giá mức độ rủi ro và triển khai quét lỗ hổng liên tục.
Việc phát hiện ra những lỗ hổng này nhấn mạnh những rủi ro do phần mềm độc quyền và việc cập nhật không chặt chẽ trong cơ sở hạ tầng mạng quan trọng gây ra.
Vì những kẻ tấn công ngày càng nhắm vào các thiết bị biên, các nhà cung cấp phải ưu tiên các biện pháp bảo mật minh bạch và người dùng phải yêu cầu điều này.
Đăng nhận xét