Некоторые из крупнейших британских поставщиков услуг связи (CSP), возможно, подвергались значительному риску из-за серии из 14 уязвимостей в маршрутизаторах Vigor от Draytek, обнаруженных ForeScout в среду, 2 октября, включая такие крупные b2b-компании, как Daisy Communications, Gamma Telecom и Zen Internet. и даже БТ.
Исправления для всех уязвимостей были предоставлены DrayTek до их скоординированного раскрытия. Однако, по данным ForeScout, на момент раскрытия информации в сети было обнаружено более 704 000 маршрутизаторов, и, учитывая, что всего несколько недель назад ФБР уничтожило ботнет, включающий некоторые активы DrayTek, используемые китайскими шпионами, может возникнуть значительная опасность компрометации последующих версий.
Исследователи Forescout Станислав Дашевский и Франческо Ла Спина заявили, что примерно 75% уязвимых устройств использовались в коммерческих целях. Они написали: «Последствия для непрерывности бизнеса и репутации серьезны. Успешная атака может привести к значительным простоям, потере доверия клиентов и штрафам со стороны регулирующих органов, и все это ложится исключительно на плечи директора по информационной безопасности».
Ошибки различаются по степени серьезности и воздействию. В их число входят один, который обеспечивает полный компрометацию системы, два, которые позволяют атаковать отраженным межсайтовым скриптингом (XSS), и два, которые позволяют использовать хранимые XSS-атаки, шесть, которые включают отказ в обслуживании (DoS) и удаленное выполнение кода (RCE), один, который позволяет только DoS. , тот, который позволяет выполнять команды операционной системы (ОС) и выходить из виртуальной машины, и, наконец, тот, который позволяет раскрывать информацию и атаковать «человек посередине».
Вероятно, наиболее критической, с максимально возможным баллом CVSS, равным 10, является CVE-2024-41592, приводящая к DoS и RCE, при которых функция в веб-интерфейсе пользователя (UI) маршрутизатора, используемая для получения данных HTTP-запроса, становится уязвимой для переполнение буфера при обработке параметров строки запроса.
В сочетании с CVE-2024-41585, ошибкой выполнения команд ОС и вторым наиболее серьезным недостатком в наборе, злоумышленник получает возможность получить удаленный корневой доступ к операционной системе хоста и выполнить разведку сети и горизонтальное перемещение, что позволяет запуск активности ботнетов и даже приводящие к развертыванию вредоносных программ или программ-вымогателей.
Теперь дополнительный анализ, проведенный Censys, показал, что обнаруженные устройства DrayTek Vigor преимущественно расположены в Великобритании, за которой следуют Вьетнам, Нидерланды и Тайвань. Из общего числа 704 000 421 476 используют пользовательский интерфейс администратора VigorConnect в Интернете.
«Сети с наибольшей концентрацией этих интерфейсов администратора представляют собой сочетание крупных национальных интернет-провайдеров и региональных телекоммуникационных провайдеров. Возглавляет список тайваньская компания HINET, что имеет смысл, учитывая, что DrayTek — тайваньская компания», — написала команда Censys.
В частности, в Великобритании Censys обнаружил 35 866 уязвимых хостов в Gamma Telecom, 31 959 в BT, 21 275 в Daisy Communications и 13 147 в Zen Internet.
В других странах Европы значительный риск может существовать в KPN в Нидерландах с 9 921 уязвимым хостом и Deutsche Telekom в Германии с 7 732 хостами.
Операторам уязвимых маршрутизаторов Vigor рекомендуется немедленно обновить прошивку, а также позаботиться о том, чтобы ограничить публичный удаленный доступ к административным веб-интерфейсам и обеспечить многофакторную аутентификацию (MFA) для их лучшей защиты.
Представитель BT заявил: «Мы знаем об этой уязвимости. Мы работаем с внешними поставщиками, чтобы внедрить исправления».
Computer Weekly связался с другими пострадавшими организациями, указанными Censys, но на момент публикации ни одна из них не ответила.
операция ФБР
В операции ФБР в сентябре 2024 года против злоумышленников, использующих комплект DrayTek, а также продукцию других поставщиков, участвовала китайская компания, действовавшая в качестве прикрытия для деятельности Пекина по сбору разведывательной информации путем захвата сетевого оборудования и других устройств Интернета вещей (IoT). в ботнет Mirai, состоящий из 250 000 устройств.
Базирующаяся в Пекине компания Integrity Technology Group позиционирует себя как поставщик услуг сетевой безопасности, но расследование ФБР связало ее с деятельностью поддерживаемого государством злоумышленника, отслеживаемого как Flax Typhoon.
Действующая с 2021 года группа Flax Typhoon Advanced Persistent Threat (APT), как известно, действует в основном в сетях, принадлежащих тайваньским организациям, хотя, по данным Microsoft, было замечено, что она нацелена на организации в других частях Юго-Восточной Азии, а также в Африке и Северной Америке. .
В основном это наблюдалось в государственных органах, образовательных учреждениях, а также в производственных и ИТ-организациях.