Компании выпускают исправление для уязвимостей маршрутизаторов

отредактировано December 2021 Раздел: Уязвимости систем и приложений
Компания D-Link выпустила исправление микропрограммы для устранения нескольких уязвимостей беспроводного интернет-маршрутизатора на базе DIR-3040 AC3000.

После успешной эксплуатации они могут позволить злоумышленникам выполнить произвольный код на маршрутизаторах без исправлений, получить доступ к конфиденциальной информации или вывести маршрутизаторы из строя после запуска состояния отказа в обслуживании.

К недостаткам безопасности DIR-3040, обнаруженным и описанным исследователем безопасности Cisco Talos Дэйвом МакДэниелом, относятся жестко запрограммированные пароли, внедрение команд и ошибки раскрытия информации.

Обход аутентификации с помощью специально созданных запросов

Уязвимости с жестко закодированными паролями и учетными данными CVE-2021-21818 и CVE-2021-21820 [1, 2] существуют в диспетчере маршрутизации Zebra IP Routing Manager маршрутизатора и функциональных возможностях тестовой среды Libcli.

Оба они позволяют злоумышленникам, нацеленным на уязвимые маршрутизаторы D-Link DIR-3040, обойти процесс аутентификации, настроенный администратором программного обеспечения.

Злоумышленники могут инициировать их, отправив последовательность специально созданных сетевых запросов, которые приводят либо к отказу в обслуживании, либо к выполнению кода на целевом маршрутизаторе, соответственно.

CVE-2021-21819, критическая уязвимость внедрения команд ОС, обнаруженная в функциональности тестовой среды Libcli маршрутизатора, также может использоваться злоумышленниками для выполнения кода.

Кроме того, это позволяет запустить «скрытую службу telnet, которая может быть запущена без аутентификации, посетив https: /// start_telnet» и войдя в тестовую среду Libcli, используя пароль по умолчанию, хранящийся в незашифрованном виде на маршрутизаторе.

Уязвимости, устраненные с помощью исправления прошивки

Компания D-Link устранила ошибки, обнаруженные в версии микропрограммы 1.13B03, и выпустила исправление микропрограммы для всех затронутых клиентов 15 июля 2021 года, которое можно загрузить здесь.

Полный список уязвимостей, устраняемых D-Link с помощью этих исправлений, включает:

CVE-2021-21816 - уязвимость, связанная с раскрытием информации системного журнала.
CVE-2021-21817 - уязвимость, связанная с раскрытием информации в Zebra IP Routing Manager.
CVE-2021-21818 - уязвимость, связанная с жестко закодированным паролем в Zebra IP Routing Manager.
CVE-2021-21819 - уязвимость, связанная с внедрением команды Libcli.
CVE-2021-21820 - уязвимость в жестко закодированном пароле в тестовой среде Libcli.

D-Link сообщает, что исправление прошивки, выпущенное для устранения ошибок, обнаруженных Cisco Talos, является «бета-версией программного обеспечения устройства, бета-версии прошивки или исправления, которое все еще проходит финальное тестирование перед официальным выпуском».

В прошлом компания D-Link исправляла другие серьезные уязвимости в нескольких моделях маршрутизаторов, в том числе ошибки внедрения удаленных команд, позволяющие злоумышленникам получить полный контроль над уязвимыми устройствами.


https://www.bleepingcomputer.com/news/security/d-link-issues-hotfix-for-hard-coded-password-router-vulnerabilities/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:

Комментарии

  • отредактировано December 2021 PM
    Ботнет, известный как Dark Mirai (он же MANGA), использует новую уязвимость на TP-Link TL-WR840N EU V5, популярном недорогом домашнем маршрутизаторе, выпущенном в 2017 году.

    Уязвимость отслеживается как CVE-2021-41653 и вызвана уязвимой переменной host, которую аутентифицированный пользователь может использовать для выполнения команд на устройстве.
    TP-Link исправила ошибку, выпустив обновление прошивки (TL-WR840N (EU) _V5_211109) 12 ноября 2021 года. Однако многие пользователи еще не применили обновление безопасности.

    Исследователь, обнаруживший уязвимость, опубликовал эксплойт PoC для RCE, в результате чего злоумышленники использовали уязвимость.

    Согласно отчету исследователей Fortinet, которые следили за деятельностью Dark Mirai, ботнет добавил конкретный RCE в свой арсенал всего через две недели после того, как TP-Link выпустила обновление прошивки.

    Процесс эксплуатации

    В случае Dark Mirai используется CVE-2021-41653, чтобы заставить устройства загружать и выполнять вредоносный сценарий tshit.sh, который, в свою очередь, загружает основные двоичные данные с помощью двух запросов.

    Акторам по-прежнему необходимо пройти аутентификацию, чтобы этот эксплойт сработал, но если пользователь оставил устройство с учетными данными по умолчанию, использование уязвимости становится тривиальным делом.

    Подобно стандартному Mirai, MANGA обнаруживает архитектуру зараженной машины и извлекает соответствующую полезную нагрузку.

    Затем он блокирует подключения к часто используемым портам, чтобы другие бот-сети не захватили захваченное устройство.

    Наконец, вредоносная программа ожидает команды от C&C (командного и контрольного) сервера для выполнения той или иной формы DoS-атаки (отказа в обслуживании).

    Код Mirai по-прежнему мешает IoT

    Mirai, возможно, и исчез, но его код породил множество новых ботнетов, которые вызывают крупномасштабные проблемы для незащищенных устройств.

    Чтобы защитить свой маршрутизатор от старых и новых вариантов Mirai или любого другого ботнета, сделайте следующее:
    Как можно скорее примените доступные обновления прошивки и безопасности

    Измените учетные данные администратора по умолчанию, используя надежный пароль из 20 или более символов.

    Регулярно проверяйте настройки DNS

    Активируйте брандмауэры, которые часто по умолчанию отключены на домашних маршрутизаторах.

    Измените адрес своей подсети и включите SSL на странице управления

    Отключите все функции удаленного управления.

    Отключите UPnP и WPS, если вы их не используете

    Если ваш маршрутизатор устарел и больше не поддерживается поставщиком, замените его новым.

    https://www.bleepingcomputer.com/news/security/dark-mirai-botnet-targeting-rce-on-popular-tp-link-router/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано December 2021 PM
    Netgear не исправил уязвимости в роутере Nighthawk

    Исследователи обнаружили полдюжины уязвимостей высокого риска в последней версии прошивки для роутера Netgear Nighthawk R6700v3. На момент публикации недостатки остаются не исправленными.

    Nighthawk R6700 - это популярный двухдиапазонный WiFi-маршрутизатор, рекламируемый с игровыми функциями, интеллектуальным родительским контролем и внутренним оборудованием, достаточно мощным для удовлетворения потребностей опытных домашних пользователей.

    Исследователи из компании Tenable, занимающейся кибербезопасностью, обнаружили шесть недостатков, которые могут позволить злоумышленнику в сети получить полный контроль над устройством:
    CVE-2021-20173: ошибка внедрения команды после аутентификации в функции обновления устройства, что делает его уязвимым для инъекции команд.
    CVE-2021-20174: HTTP используется по умолчанию для всех сообщений веб-интерфейса устройства, что создает риск перехвата имени пользователя и пароля в незашифрованном виде.
    CVE-2021-20175: интерфейс SOAP (порт 5000) по умолчанию использует HTTP для связи, что создает риск перехвата имени пользователя и пароля в виде открытого текста.
    CVE-2021-23147: выполнение команды от имени пользователя root без аутентификации через соединение порта UART. Для использования этой уязвимости требуется физический доступ к устройству.
    CVE-2021-45732: манипуляции с конфигурацией с помощью жестко запрограммированных процедур шифрования, позволяющих изменять настройки, заблокированные по соображениям безопасности.
    CVE-2021-45077: все имена пользователей и пароли для служб устройства хранятся в виде открытого текста в файле конфигурации.

    Помимо вышеупомянутых проблем безопасности, Tenable обнаружила несколько экземпляров библиотек jQuery, использующих версию 1.4.2, которая, как известно, содержит уязвимости. Исследователи также отмечают, что в устройстве используется MiniDLNA - серверная версия с общеизвестными недостатками.

    Недавно обнаруженные недостатки касаются прошивки версии 1.0.4.120, которая является последней версией для устройства.

    Пользователям рекомендуется изменить учетные данные по умолчанию на что-то уникальное и надежное и следовать рекомендуемым методам безопасности для более надежной защиты от заражения вредоносными программами.

    Кроме того, регулярно проверяйте портал загрузки микропрограмм Netgear и устанавливайте новые версии, как только они станут доступны. Также рекомендуется включить автоматические обновления на вашем роутере.

    Текущий отчет о безопасности относится к Netgear R6700 v3, который все еще поддерживается, а не к Netgear R6700 v1 и R6700 v2, срок эксплуатации которых истек. Если вы все еще используете старые модели, рекомендуется их заменить.

    Компания Tenable сообщила поставщику о вышеуказанных проблемах 30 сентября 2021 г., и, несмотря на то, что впоследствии произошел обмен некоторой информацией в виде разъяснений и предложений, проблемы остались нерешенными.

    https://www.bleepingcomputer.com/news/security/netgear-leaves-vulnerabilities-unpatched-in-nighthawk-router/

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Cisco исправляет критические ошибки в SMB маршрутизаторах, доступны эксплойты
    Cisco выпустила исправления для многочисленных уязвимостей в платформе маршрутизаторов Small Business RV Series, которые могут позволить удаленным злоумышленникам получить полный контроль над устройством, во многих случаях без аутентификации.
    В общей сложности эти обновления безопасности исправляют пятнадцать уязвимостей, пять из которых оцениваются как критические, поскольку злоумышленники могут использовать их для получения привилегий root или удаленного выполнения команд на устройстве.

    Согласно бюллетеню, злоумышленник, использующий эти уязвимости, может выполнять произвольный код, повышать привилегии, запускать команды, обходить защиту аутентификации, извлекать и запускать неподписанное программное обеспечение и вызывать состояние отказа в обслуживании (DoS).


    В бюллетене Cisco отмечается, что многочисленные уязвимости безопасности были классифицированы как «критические» из-за простоты использования и возможности злоупотреблений.

    Наиболее значительными уязвимостями с точки зрения их серьезности являются:

    CVE-2022-20699: Недостаток выполнения кода в модуле SSL VPN, вызванный недостаточной проверкой границ при обработке определенных HTTP-запросов. (оценка CVSS v3 10,0)

    CVE-2022-20700 и CVE-2022-20701: уязвимости повышения привилегий (до root) в веб-интерфейсе управления маршрутизатора, которые страдают от недостаточных механизмов принудительной авторизации. (оценка CVSS v3 10,0 и 9,0 соответственно)

    CVE-2022-20703: Уязвимость обхода проверки подписи в функции проверки образа программного обеспечения, основанная на неправильной проверке образов программного обеспечения, установленных на уязвимом устройстве. (оценка CVSS v3 9,3)

    CVE-2022-20708: Недостаток внедрения команд в веб-интерфейс управления маршрутизаторами, который страдает от недостаточной проверки введенных пользователем данных. (оценка CVSS v3 10,0)

    Cisco предупреждает, что некоторые из этих уязвимостей необходимо связать вместе, чтобы использовать маршрутизатор серии RV.

    «Некоторые уязвимости зависят друг от друга. Эксплуатация одной уязвимости может потребоваться для использования другой уязвимости», — поясняется в информационном бюллетене Cisco.

    Отслежены уязвимости CVE-2022-20700, CVE-2022-20701, CVE-2022-20702, CVE-2022-20703, CVE-2022-20704, CVE-2022-20705, CVE-2022-20706, CVE-2022-20710. и CVE-2022-20712 влияют на:

    VPN-маршрутизаторы RV160
    VPN-маршрутизаторы Wireless-AC RV160W
    VPN-маршрутизаторы RV260
    VPN-маршрутизаторы RV260P с PoE
    VPN-маршрутизаторы Wireless-AC RV260W
    Гигабитные VPN-маршрутизаторы RV340 с двумя глобальными сетями
    RV340W Dual WAN Gigabit Wireless-AC VPN-маршрутизаторы
    Гигабитные VPN-маршрутизаторы RV345 с двумя глобальными сетями
    RV345P Dual WAN Gigabit POE VPN-маршрутизаторы

    Уязвимости CVE-2022-20699, CVE-2022-20707, CVE-2022-20708, CVE-2022-20709, CVE-2022-20711 и CVE-2022-20749 затрагивают только следующие продукты Cisco:

    Гигабитные VPN-маршрутизаторы RV340 с двумя глобальными сетями
    RV340W Dual WAN Gigabit Wireless-AC VPN-маршрутизаторы
    Гигабитные VPN-маршрутизаторы RV345 с двумя глобальными сетями
    RV345P Dual WAN Gigabit POE VPN-маршрутизаторы

    Даже если ваш продукт не подвержен каким-либо критическим уязвимостям, всегда есть шанс, что злоумышленники объединят несколько менее серьезных уязвимостей для проведения мощных атак.

    Если вы используете какой-либо из перечисленных выше продуктов, настоятельно рекомендуется установить обновления для системы безопасности как можно скорее.

    https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-bugs-in-smb-routers-exploits-available/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.