02 de octubre de 2024Ravie LakshmananVulnerabilidad/seguridad de red Se han descubierto poco más de una docena de nuevas vulnerabilidades de seguridad en enrutadores residenciales y empresariales fabricados por DrayTek que podrían explotarse para controlar dispositivos susceptibles. «Estas vulnerabilidades podrían permitir a los atacantes tomar el control de un enrutador inyectando código malicioso, permitiéndoles persistir en el dispositivo y usarlo como puerta de entrada a las redes empresariales», dijo Forescout Vedere Labs en un informe técnico compartido con The Hacker News. De las 14 fallas de seguridad, dos se califican como críticas, nueve como altas y tres como de gravedad media. La más crítica de las deficiencias es una falla a la que se le ha otorgado la puntuación máxima CVSS de 10,0. Se trata de un error de desbordamiento del búfer en la función «GetCGI()» en la interfaz de usuario web que podría provocar una denegación de servicio (DoS) o una ejecución remota de código (RCE) al procesar los parámetros de la cadena de consulta. Otra vulnerabilidad crítica se relaciona con un caso de inyección de comandos del sistema operativo (SO) en el binario «recvCmd» utilizado para las comunicaciones entre el sistema operativo host y el invitado. Las 12 fallas restantes se enumeran a continuación: Uso de las mismas credenciales de administrador en todo el sistema, lo que resulta en un compromiso total del sistema (puntuación CVSS: 7,5) Una vulnerabilidad de secuencias de comandos entre sitios (XSS) reflejada en la interfaz de usuario web (puntuación CVSS: 7,5) Una vulnerabilidad XSS almacenada en la interfaz de usuario web al configurar un mensaje de saludo personalizado después de iniciar sesión (puntuación CVSS: 4,9) Una vulnerabilidad XSS almacenada en la interfaz de usuario web al configurar un nombre de enrutador personalizado para mostrar a los usuarios (puntuación CVSS: 4,9) Un reflejo Vulnerabilidad XSS en la página de inicio de sesión de la interfaz de usuario web (puntuación CVSS: 4,9) Vulnerabilidades de desbordamiento de búfer en las páginas CGI de la interfaz de usuario web «/cgi-bin/v2x00.cgi» y «/cgi-bin/cgiwcg.cgi» que conducen a DoS o RCE ( Puntuación CVSS: 7.2) Vulnerabilidades de desbordamiento de búfer en las páginas CGI de la interfaz de usuario web que conducen a DoS o RCE (puntuación CVSS: 7.2) Una vulnerabilidad de desbordamiento de búfer de pila en la página «/cgi-bin/ipfedr.cgi» de la interfaz de usuario web que conduce a DoS o RCE (Puntuación CVSS: 7,2) Múltiples vulnerabilidades de desbordamiento de búfer en la interfaz de usuario web que conducen a DoS o RCE (puntuación CVSS: 7,2) Una vulnerabilidad de desbordamiento de búfer basada en montón en la función ft_payloads_dns() de la interfaz de usuario web que conduce a DoS (puntuación CVSS: 7,2) Vulnerabilidad de escritura fuera de límites en la interfaz de usuario web que conduce a DoS o RCE (puntuación CVSS: 7,2) Una vulnerabilidad de divulgación de información en el backend del servidor web para la interfaz de usuario web que podría permitir que un actor de amenazas realice una acción de adversario en el ataque medio (AitM) (puntuación CVSS: 7,6) El análisis de Forescout encontró que más de 704.000 enrutadores DrayTek tienen su interfaz de usuario web expuesta a Internet, lo que la convierte en una superficie rica en ataques para actores maliciosos. La mayoría de los casos expuestos se encuentran en Estados Unidos, seguidos de Vietnam, Países Bajos, Taiwán y Australia. Luego de una divulgación responsable, DrayTek lanzó parches para todas las fallas identificadas, y la vulnerabilidad con calificación máxima también se abordó en 11 modelos de fin de vida útil (EoL). «La protección completa contra las nuevas vulnerabilidades requiere parchear los dispositivos que ejecutan el software afectado», dijo Forescout. «Si el acceso remoto está habilitado en su enrutador, desactívelo si no es necesario. Utilice una lista de control de acceso (ACL) y autenticación de dos factores (2FA) si es posible». El desarrollo se produce cuando las agencias de ciberseguridad de Australia, Canadá, Alemania, Japón, los Países Bajos, Nueva Zelanda, Corea del Sur, el Reino Unido y los EE. UU. emitieron una guía conjunta para las organizaciones de infraestructura crítica para ayudar a mantener un entorno de tecnología operativa (OT) seguro. . El documento, titulado «Principios de ciberseguridad de la tecnología operativa», describe seis reglas fundamentales: La seguridad es primordial El conocimiento del negocio es crucial Los datos de OT son extremadamente valiosos y deben protegerse Segmentar y separar OT de todas las demás redes La cadena de suministro debe ser segura Las personas son esenciales para la ciberseguridad de OT «Filtrar rápidamente las decisiones para identificar aquellas que impactan la seguridad de OT mejorará la toma de decisiones sólidas, informadas e integrales que promuevan la seguridad y la continuidad del negocio al diseñar, implementar y gestionar entornos de OT. » dijeron las agencias. ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.