Fuente: thehackernews.com – Autor: . Se han descubierto poco más de una docena de nuevas vulnerabilidades de seguridad en enrutadores residenciales y empresariales fabricados por DrayTek que podrían explotarse para controlar dispositivos susceptibles. «Estas vulnerabilidades podrían permitir a los atacantes tomar el control de un enrutador inyectando código malicioso, permitiéndoles persistir en el dispositivo y usarlo como puerta de entrada a las redes empresariales», dijo Forescout Vedere Labs en un informe técnico compartido con The Hacker News. De las 14 fallas de seguridad, denominadas colectivamente DRAY:BREAK, dos están clasificadas como críticas, nueve como altas y tres como de gravedad media. La más crítica de las deficiencias es una falla a la que se le ha otorgado la puntuación máxima CVSS de 10,0. CVE-2024-41592 se refiere a un error de desbordamiento del búfer en la función “GetCGI()” en la interfaz de usuario web que podría provocar una denegación de servicio (DoS) o una ejecución remota de código (RCE) al procesar los parámetros de la cadena de consulta. Otra vulnerabilidad crítica (CVE-2024-41585, puntuación CVSS: 9,1) se relaciona con un caso de inyección de comando del sistema operativo (SO) en el binario “recvCmd” utilizado para las comunicaciones entre el sistema operativo host y el invitado. Las 12 fallas restantes se enumeran a continuación: CVE-2024-41589 (puntuación CVSS: 7,5): uso de las mismas credenciales de administrador en todo el sistema, lo que compromete todo el sistema. CVE-2024-41591 (puntuación CVSS: 7,5) – A reflejado Vulnerabilidad de secuencias de comandos entre sitios (XSS) en la interfaz de usuario web CVE-2024-41587 (puntuación CVSS: 4,9): una vulnerabilidad XSS almacenada en la interfaz de usuario web al configurar un mensaje de saludo personalizado después de iniciar sesión CVE-2024-41583 (puntuación CVSS: 4.9) – Una vulnerabilidad XSS almacenada en la interfaz de usuario web al configurar un nombre de enrutador personalizado para que se muestre a los usuarios CVE-2024-41584 (puntuación CVSS: 4.9) – Una vulnerabilidad XSS reflejada en la página de inicio de sesión de la interfaz de usuario web CVE-2024-41588 ( Puntuación CVSS: 7.2) – Vulnerabilidades de desbordamiento de búfer en las páginas CGI de la interfaz de usuario web “https://thehackernews.com/cgi-bin/v2x00.cgi” y “https://thehackernews.com/cgi-bin/cgiwcg.cgi” que conduce a DoS o RCE CVE-2024-41590 (puntuación CVSS: 7,2): vulnerabilidades de desbordamiento de búfer en las páginas CGI de la interfaz de usuario web que conducen a DoS o RCE CVE-2024-41586 (puntuación CVSS: 7,2): una vulnerabilidad de desbordamiento de búfer de pila en el Página “https://thehackernews.com/cgi-bin/ipfedr.cgi” de la interfaz de usuario web que conduce a DoS o RCE CVE-2024-41596 (puntuación CVSS: 7,2): múltiples vulnerabilidades de desbordamiento de búfer en la interfaz de usuario web que conducen a DoS o RCE CVE-2024-41593 (puntuación CVSS: 7,2): una vulnerabilidad de desbordamiento del búfer basada en montón en la función ft_payloads_dns() de la interfaz de usuario web que conduce a DoS CVE-2024-41595 (puntuación CVSS: 7,2): una vulnerabilidad de escritura fuera de límites en la interfaz de usuario web que conduce a DoS o RCE CVE-2024-41594 (puntuación CVSS: 7,6): una vulnerabilidad de divulgación de información en el backend del servidor web para la interfaz de usuario web que podría permitir que un actor de amenazas realice una acción de adversario en el medio. (AitM) El análisis de Forescout encontró que más de 704.000 enrutadores DrayTek tienen su interfaz de usuario web expuesta a Internet, lo que la convierte en una superficie rica en ataques para actores maliciosos. La mayoría de los casos expuestos se encuentran en Estados Unidos, seguidos de Vietnam, Países Bajos, Taiwán y Australia. Luego de una divulgación responsable, DrayTek lanzó parches para todas las fallas identificadas, y la vulnerabilidad con calificación máxima también se abordó en 11 modelos de fin de vida útil (EoL). «La protección completa contra las nuevas vulnerabilidades requiere parchear los dispositivos que ejecutan el software afectado», dijo Forescout. “Si el acceso remoto está habilitado en su enrutador, desactívelo si no es necesario. Utilice una lista de control de acceso (ACL) y autenticación de dos factores (2FA) si es posible”. El desarrollo se produce cuando las agencias de ciberseguridad de Australia, Canadá, Alemania, Japón, los Países Bajos, Nueva Zelanda, Corea del Sur, el Reino Unido y los EE. UU. emitieron una guía conjunta para las organizaciones de infraestructura crítica para ayudar a mantener un entorno de tecnología operativa (OT) seguro. . El documento, titulado «Principios de ciberseguridad de la tecnología operativa», describe seis reglas fundamentales: La seguridad es primordial El conocimiento del negocio es crucial Los datos de OT son extremadamente valiosos y deben protegerse Segmentar y separar OT de todas las demás redes La cadena de suministro debe ser segura Las personas son esenciales para la ciberseguridad de OT “Filtrar rápidamente las decisiones para identificar aquellas que impactan la seguridad de OT mejorará la toma de decisiones sólidas, informadas e integrales que promuevan la seguridad y la continuidad del negocio al diseñar, implementar y gestionar entornos de OT. ”, dijeron las agencias. Actualización La empresa de gestión de superficies de ataque Censys dijo que ha identificado 751,801 enrutadores DrayTek Vigor expuestos en línea al 3 de octubre de 2024, de los cuales 421,476 dispositivos están exponiendo la interfaz de usuario de administración de VigorConnect en la web. El Reino Unido, Vietnam, los Países Bajos y Taiwán se encuentran entre los lugares con la mayor cantidad de dispositivos accesibles a través de Internet. «Si un enrutador se ve comprometido, un actor de amenazas podría aprovecharlo para realizar reconocimiento de red y movimiento lateral a otros dispositivos dentro de la red, implementar malware o iniciar actividad de botnet», dijo Censys. “Los actores de amenazas suelen utilizar las interfaces de administración de redes como puntos de acceso iniciales. Cuando se exponen en la Internet pública, estas interfaces son fácilmente detectables y, a menudo, explotadas debido a la gran cantidad de información que proporcionan. Comprometer una interfaz de administración puede otorgar acceso no autorizado a redes más grandes, haciéndolas valiosas para el reconocimiento de la red y futuros ataques”. ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos. URL de la publicación original: https://thehackernews.com/2024/10/alert-over-700000-draytek-routers.html