Birleşik Krallık’ın en büyük iletişim hizmetleri sağlayıcılarından (CSP’ler) 2 Ekim Çarşamba günü ForeScout tarafından açıklanan Draytek’in Vigor yönlendirici cihazlarındaki Daisy Communications, Gamma Telecom ve Zen Internet gibi büyük b2b isimleri de dahil olmak üzere 14 güvenlik açığı nedeniyle ciddi risk altında olabilir ve hatta BT.
Tüm güvenlik açıklarına yönelik yamalar, koordineli açıklamadan önce DrayTek tarafından kullanıma sunuldu. Ancak ForeScout’a göre, ifşa sırasında 704.000’den fazla yönlendiricinin çevrimiçi ortamda açığa çıktığı ve FBI’ın sadece birkaç hafta önce Çinli casuslar tarafından kullanılan bazı DrayTek varlıklarını içeren bir botnet’i çökerttiği göz önüne alındığında, aşağı yönlü uzlaşmaların ciddi bir tehlikesi olabilir.
Forescout’un araştırmacıları Stanislav Dashevskyi ve Francesco La Spina, savunmasız cihazların yaklaşık %75’inin ticari ortamlarda kullanıldığını söyledi. Şöyle yazdılar: “İş sürekliliği ve itibar açısından sonuçları ciddi. Başarılı bir saldırı, ciddi kesintilere, müşteri güveninin kaybolmasına ve düzenleyici cezalara yol açabilir; bunların hepsi doğrudan CISO’nun omuzlarına düşer.”
Hataların ciddiyeti ve etkisi farklılık göstermektedir. Bunlar arasında tam sistem güvenliğinin aşılmasını sağlayan bir tane, yansıtılan siteler arası komut dosyası çalıştırma (XSS) saldırılarını etkinleştiren iki ve depolanan XSS saldırılarını etkinleştiren iki, hizmet reddini (DoS) ve uzaktan kod yürütmeyi (RCE) etkinleştiren altı, yalnızca DoS’u etkinleştiren bir tane bulunur. , işletim sistemi (OS) komutlarının yürütülmesine ve sanal makineden kaçışa olanak tanıyan ve son olarak bilgilerin açığa çıkmasına ve ortadaki adam saldırılarına izin veren bir tane.
Muhtemelen en kritik olanı, mümkün olan en yüksek CVSS puanı olan 10 ile CVE-2024-41592’dir ve DoS ve RCE’ye yol açar; burada yönlendiricinin web kullanıcı arayüzünde (UI) HTTP istek verilerini almak için kullanılan bir işlev, bir saldırıya karşı savunmasız hale gelir. sorgu dizesi parametrelerini işlerken arabellek taşması.
İşletim sistemi komut yürütme hatası ve setteki en ciddi ikinci kusur olan CVE-2024-41585 ile zincirlendiğinde, bir tehdit aktörünün ana işletim sistemi üzerinde uzaktan kök erişimi elde etmesi ve ağ keşfi ve yanal hareket gerçekleştirmesi mümkün hale gelir. botnet etkinliğinin başlatılması ve hatta kötü amaçlı yazılım veya fidye yazılımının yayılmasına yol açması.
Şimdi, Censys tarafından yapılan ek analiz, açığa çıkan DrayTek Vigor cihazlarının ağırlıklı olarak İngiltere’de bulunduğunu, ardından Vietnam, Hollanda ve Tayvan’ın geldiğini ortaya çıkardı. Toplam 704.000 kişiden 421.476’sı VigorConnect yönetici kullanıcı arayüzünü çevrimiçi olarak açığa çıkarıyor.
“Bu yönetici arayüzlerinin en yoğun olduğu ağlar, büyük ulusal İSS’lerin ve bölgesel telekom sağlayıcılarının bir karışımıdır. Listenin başında Tayvan merkezli HINET yer alıyor ve DrayTek’in Tayvanlı bir şirket olduğu göz önüne alındığında bu mantıklı görünüyor” diye yazdı Censys ekibi.
Özellikle Birleşik Krallık’ta Censys, Gamma Telecom’da 35.866, BT’de 31.959, Daisy Communications’da 21.275 ve Zen Internet’te 13.147 savunmasız ana bilgisayar buldu.
Avrupa’nın başka yerlerinde, 9.921 savunmasız ana bilgisayarla Hollanda’daki KPN ve 7.732 ile Almanya’daki Deutsche Telekom’da önemli bir risk mevcut olabilir.
Savunmasız Vigor yönlendiricilerinin operatörlerine, yazılımlarına derhal yama yapmaları, aynı zamanda idari web kullanıcı arayüzlerini genel uzaktan erişimden kısıtlamaya dikkat etmeleri ve bunları daha iyi korumak için çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılmaları tavsiye ediliyor.
BT sözcüsü şunları söyledi: “Bu güvenlik açığının farkındayız. Çözümleri hayata geçirmek için dış tedarikçilerle çalışıyoruz.”
Computer Weekly, Censys’in belirttiği diğer etkilenen kuruluşlarla temasa geçti ancak yayın sırasında hiçbiri yanıt vermedi.
FBI operasyonu
Eylül 2024’te DrayTek kitini ve diğer tedarikçilerin ürünlerini kullanan tehdit aktörlerine karşı FBI operasyonu, ağ donanımını ve diğer Nesnelerin İnterneti (IoT) cihazlarını ele geçirerek Pekin’in istihbarat toplama faaliyetleri için paravan görevi gören Çin merkezli bir şirketi içeriyordu. 250.000 cihazdan oluşan bir Mirai botnetine aktarıldı.
Pekin merkezli Integrity Technology Group, kendisini bir ağ güvenlik hizmetleri sağlayıcısı olarak tanıtıyor ancak FBI soruşturması, bunun Flax Typhoon olarak takip edilen devlet destekli bir tehdit aktörüyle tutarlı faaliyetlerle bağlantılı olduğunu gösteriyor.
2021’den bu yana aktif olan Flax Typhoon gelişmiş kalıcı tehdit (APT) grubunun büyük ölçüde Tayvan merkezli kuruluşların sahip olduğu ağlar üzerinde çalıştığı biliniyor, ancak Microsoft’a göre Güneydoğu Asya’nın yanı sıra Afrika ve Kuzey Amerika’daki başka yerlerdeki kuruluşları da hedef aldığı gözlemlendi. .
Çoğunlukla devlet kurumları, eğitim kurumları, üretim ve BT organizasyonları bünyesinde faaliyet gösterdiği gözlemlenmiştir.