Araştırmacılar, DrayTek Vigor yönlendiricilerinde, CVSS şiddet ölçeğinde 10 üzerinden 10 olarak derecelendirilen kritik bir uzaktan kod yürütme kusuru da dahil olmak üzere on dört yeni güvenlik açığı tespit etti.
Tayvanlı bir ağ ekipmanı üreticisi olan DrayTek, konut ve iş amaçlı kullanıma yönelik VPN, güvenlik duvarları ve bant genişliği yönetimine sahip gelişmiş yönlendiriciler sunmaktadır. Sağlık hizmetleri, perakende ve kamu gibi sektörlerde yaygın olarak kullanılan cihazlar, siber suçluların ana hedefleridir.
Bu güvenlik açıkları önemli bir tehdit oluşturuyor ve potansiyel olarak siber suçluların etkilenen cihazların kontrolünü ele geçirerek hassas verileri çalmasına, fidye yazılımı dağıtmasına ve hizmet reddi saldırıları başlatmasına olanak tanıyor. Şu anda tahmini 785.000 DrayTek yönlendiricisi, özellikle iş ortamlarında kullanılıyor.
Endişe verici bir şekilde, Forescout’un Vedere Laboratuvarları tarafından yapılan araştırma, bu cihazların 704.000’den fazlasının web arayüzlerinin kamuya açık internete açık olduğunu ve bu durum onları özellikle istismara karşı savunmasız hale getirdiğini ortaya çıkardı.
DrayTek’in bu kontrol panellerine yalnızca yerel ağlardan erişilebilmesi gerektiği yönündeki uyarılarına rağmen, bu risk hala önemli bir risk olmaya devam ediyor.
Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free
Kritik Kusurların Teknik Detayları
Güvenlik açıkları kötü niyetli aktörlerin gözünden kaçmadı. DrayTek yönlendiricileri, başta Çin gelişmiş kalıcı tehditleri (APT’ler) olmak üzere tehdit grupları tarafından sürekli olarak hedef alınmaktadır.
FBI’dan gelen son raporlar, Çin hükümeti casuslarının 260.000 cihazdan oluşan bir botnet oluşturmak için DrayTek yönlendiricilerindeki üç güvenlik açığından yararlandığını gösteriyor. DrayTek, hem desteklenen hem de kullanım ömrü sona eren modellerde on dört CVE’nin tümü için yamalar yayınladı.
Yeni keşfedilen güvenlik açıkları arasında özellikle iki ciddi sorun yer alıyor:
- CVE-2024-41592: Web kullanıcı arayüzünün GetCGI() işlevindeki bu arabellek taşması güvenlik açığı, kimliği doğrulanmamış kullanıcıların uzaktan kod yürütmesine veya hizmet reddine neden olmasına olanak tanır. Maksimum ciddiyet derecesi aldı.
- CVE-2024-41585: Bu işletim sistemi komut ekleme hatası, bellenimdeki recvCmd ikili dosyasını etkileyerek konuk işletim sisteminden ana bilgisayar işletim sistemine komut ekleme saldırılarına olanak tanır. CVSS puanı 9,1 ile derecelendirilmiştir.
Bu güvenlik açıklarından, etkilenen cihazların ana işletim sistemine uzaktan kök erişimi sağlamak için birlikte yararlanılabilir.
Önerilen Azaltma Adımları
Bu riskleri azaltmak için kullanıcılara şunları yapmaları önerilir:
- Kesinlikle gerekmedikçe uzaktan erişim özelliklerini devre dışı bırakın.
- Gerekirse uzaktan erişim için iki faktörlü kimlik doğrulama ve erişim kontrol listeleri uygulayın.
- Ağ bölümlendirmesini ve güçlü şifre politikalarını kullanın.
- Olağandışı etkinlikler açısından cihazları düzenli olarak izleyin.
Güvenlik açıkları Vigor1000B, Vigor2962, Vigor3910 ve diğerleri dahil olmak üzere 24 modeli etkiliyor. Bu modellerden bazıları yüksek indirme/yükleme hızlarını destekler ve güçlü donanım özelliklerine sahiptir, bu da onları komuta ve kontrol sunucuları olarak kullanım için cazip hedefler haline getirir.
Bu güvenlik açıklarının keşfedilmesi, işletmelerin ağ altyapılarını giderek daha karmaşık hale gelen siber tehditlere karşı güvence altına almaları konusundaki kritik ihtiyacın altını çiziyor. Kuruluşlar proaktif önlemler alarak ve mevcut yamaları uygulayarak kendilerini olası istismarlara karşı daha iyi koruyabilirler.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Free Registration