Hackers explotan los errores de día cero en los dispositivos Draytek

Iniciado por Dragora, Marzo 29, 2020, 09:11:45 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.



Investigadores de ciberseguridad con NetLab de Qihoo 360 revelaron hoy detalles de dos campañas de ciberataque de día cero recientemente descubiertas en la naturaleza dirigidas a dispositivos de red de nivel empresarial fabricados por DrayTek con sede en Taiwán.

Según el informe , al menos dos grupos separados de piratas informáticos explotaron dos vulnerabilidades críticas de inyección de comandos remotos ( CVE-2020-8515 ) que afectan a los conmutadores empresariales DrayTek Vigor, equilibradores de carga, enrutadores y dispositivos de puerta de enlace VPN para espiar el tráfico de red e instalar puertas traseras.

Los ataques de día cero comenzaron en algún lugar a fines de noviembre pasado o principios de diciembre y todavía están potencialmente en curso contra miles de conmutadores DrayTek expuestos públicamente , Vigor 2960, 3900, 300B.dispositivos que aún no han sido parcheados con las últimas actualizaciones de firmware lanzadas el mes pasado.

Las vulnerabilidades de día cero en cuestión pueden ser explotadas por cualquier atacante remoto no autorizado para inyectar y ejecutar comandos arbitrarios en el sistema, como también lo detalla un investigador independiente en su blog.



"Los dos puntos de inyección del comando de vulnerabilidad de 0 días son keyPath y rtick, ubicados en /www/cgi-bin/mainfunction.cgi, y el programa correspondiente del servidor web es / usr / sbin / lighttpd", dice el informe.



Los investigadores de NetLab aún no han atribuido ambos ataques a ningún grupo específico, pero sí confirmaron que si bien el primer grupo simplemente espió el tráfico de la red, el segundo grupo de atacantes utilizó la vulnerabilidad de inyección de comando rtick para crear:

- la puerta trasera de sesión web que nunca caduca,
- Puerta trasera SSH en los puertos TCP 22335 y 32459,
- cuenta de sistema de puerta trasera con usuario "wuwuhanhan" y contraseña "caonimuqin".

Tenga en cuenta que si acaba de instalar el firmware parcheado o si lo instala ahora, no eliminará las cuentas de puerta trasera automáticamente en caso de que ya esté comprometido.

"Recomendamos que los usuarios de DrayTek Vigor verifiquen y actualicen su firmware de manera oportuna y verifiquen si hay un proceso tcpdump, una cuenta de puerta trasera SSH, puerta trasera de sesión web, etc. en sus sistemas".

"Si tiene el acceso remoto habilitado en su enrutador, desactívelo si no lo necesita, y use una lista de control de acceso si es posible", sugiere la compañía.

La lista de versiones de firmware afectadas es la siguiente:


- Vigor2960 <v1.5.1
- Vigor300B <v1.5.1
- Vigor3900 <v1.5.1
- VigorSwitch20P2121 <= v2.3.2
- VigorSwitch20G1280 <= v2.3.2
- VigorSwitch20P1280 <= v2.3.2
- VigorSwitch20G2280 <= v2.3.2
- VigorSwitch20P2280 <= v2.3.2

Se recomienda encarecidamente a las empresas e individuos afectados que instalen las últimas actualizaciones de firmware para proteger completamente sus valiosas redes contra malware y amenazas emergentes en línea.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta