Küçük ofis/ev ofis (SOHO) ortamlarında yaygın olarak konuşlandırılan Draytek Vigor yönlendiricilerindeki bir dizi kritik güvenlik açıklığı açıldı, cihazları uzaktan kod yürütme (RCE), hizmet reddi (DOS) saldırılarına ve kimlik bilgisi hırsızlığına maruz bıraktı.
Ürün yazılımı tersine mühendislik çabaları sırasında keşfedilen kusurlar, yerel ağlar ve internet arasında ağ geçitleri görevi gören yönlendiricilerde sistemik güvenlik zayıflıklarını vurgulamaktadır.
Araştırmacılar, kimlik doğrulama mekanizmalarındaki zayıflıklar, çekirdek modülü güncellemeleri ve protokol uygulamaları dahil olmak üzere sekiz CVE belirlediler, bu da saldırganların güvenlik kontrollerini atlamasına, keyfi kodları yürütmesine veya çarpışma aygıtları yapmasına izin verebilir.
Kimlik doğrulama ve şifreleme arızaları
Faraday ekibi, CVE-2024-41335 ve CVE-2024-41336 olmak üzere iki güvenlik açığı bildirir, kimlik doğrulama güvencelerini zayıflatır.
Birincisi, STRCMP ve MEMCMP gibi şifre denetleme işlevlerindeki sabit olmayan zaman karşılaştırmalarını kullanır ve zamanlama saldırılarının kimlik bilgilerini çıkarmasını sağlar.
İkincisi, şifreleri düz metin olarak saklar ve fiziksel veya bellek erişimi olan saldırganların kimlik bilgilerini doğrudan almasına izin verir.
Ek olarak, atanmamış bir CVE, yönlendirici çalışma süresine bağlı öngörülebilir iki faktörlü kimlik doğrulama (2FA) kod üretimini ortaya çıkarır.
Bu kusuru CVE-2024-41338 gibi bir DOS istismarıyla birleştirerek, saldırganlar yeniden başlatmayı zorlayabilir, yeni 2FA kodunu tahmin edebilir ve giriş korumalarını atlayabilir.
Çekirdek Modülü Sömürü ve Kod Yürütme
En şiddetli güvenlik açıkları, çekirdek modülü manipülasyonu yoluyla RCE’yi etkinleştirir. CVE-2024-41339, yapılandırma dosyaları olarak gizlenmiş çekirdek modülü yüklemeleri kabul eden belgesiz bir CGI yapılandırma uç noktasını kullanır.
Saldırganlar bunu kötü amaçlı modüller kurmak, kök erişimi kazanmak için kullanabilirler. Benzer şekilde, CVE-2024-41340 ve CVE-2024-41334 Hedef Draytek’in Uygulama Uygulama (APPE) imza sistemi.
Birincisi keyfi imza yüklemelerine izin verirken, ikincisi güncellemeler sırasında SSL sertifikası doğrulamasını devre dışı bırakarak ortadaki adam saldırılarının kötü amaçlı modülleri zorlamasına izin verir.
Bu kusurlar toplu olarak, kimlik doğrulanmamış saldırganların ürün yazılımı güncelleme mekanizmalarını ele geçirmesini ve kalıcı yükleri dağıtmasını sağlar.
Hafıza Yolsuzluğu Güvenlikleri
İki bellek bozulması kusuru-CVE-2024-51138 ve CVE-2024-51139-kritik riskler taşır.
Birincisi, TR069 STUN sunucusunun URL ayrıştırıcısında, kimlik doğrulanmamış isteklerle tetiklenen yığın tabanlı bir arabellek taşmasıdır.
TR069 ve STUN etkinleştirildiğinde (NAT ortamlarında yaygın), bu tam sistem uzlaşmasına izin verir.
İkincisi, CGI Parser’ın HTTP Post isteklerini ele almasında bir tamsayı taşıyor, belleği manipüle edilmiş bir içerik uzunluk başlığına göre yanlış monte ederek yığın taşmalarına ve RCE’ye yol açar.
Her iki güvenlik açığı da kimlik doğrulaması gerektirmez ve uzaktan sömürülebilirdir.
Güvenlik açıkları, ciddiyeti ürün yazılımı sürümüne göre değişen çoklu Draytek yönlendirici modellerini etkiler:
CVE-2024-41334-CVE-2024-41338: Vigor165/166 (4.2.6’dan önce), Vigor2620/LTE200 (3.9.8.8’den önce), Vigor2860/2925 (3.9.7’den önce) ve Vigor2133/2762/2832 (3.9.8’den önce).
CVE-2024-41339 ve CVE-2024-41340: Vigor2862/2926 (3.9.9.5’ten önce), Vigor2135/2765/2766 (4.4.5.1’den önce) ve Vigor2962/3910 (4.3.2.8’den önce).
CVE-2024-51138 ve CVE-2024-51139: Vigor2620/LTE200 (3.9.9.1’den önce), Vigor2865/2866/2927 (4.4.5.8’den önce) ve Vigor3912 (4.4.3.2’den önce).
Azaltma ve öneriler
Draytek henüz tüm güvenlik açıkları için yamalar yayınlamadı ve yöneticileri geçici çözümler uygulamaya bıraktı. Kritik adımlar şunları içerir:
- CVE-2024-51138’i azaltmak için gereksiz yere TR069 ve STUN hizmetlerini devre dışı bırakma.
- Etkilenen modeller için ürün yazılımını en son sürümlere yükseltmek (örn., Vigor2860/2925 ila 3.9.8 veya daha yüksek).
- Hassas dahili sistemlerden yönlendiricileri izole etmek için ağ segmentasyonunun uygulanması.
- Beklenmedik konfigürasyon değişiklikleri veya modül kurulumları gibi anormal aktivitenin izlenmesi.
Araştırmacılar, DEFCON 32 HHV ve Ekoparty 2024’te CVE-2024-51138 ve CVE-2024-51139 için teknik ayrıntıları açıklayacak ve önleyici hafifletmenin aciliyetinin altını çizeceklerdir.
Draytek cihazlarına bağımlı işletmeler, maruziyeti değerlendirmek ve sürekli güvenlik açığı taramasını dağıtmak için kırmızı takım hizmetleri sunmalıdır.
Bu kusurların keşfi, kritik ağ altyapısında tescilli ürün yazılımı ve gevşek güncelleme uygulamalarının ortaya koyduğu risklerin altını çizmektedir.
Saldırganlar giderek daha fazla avantajlı cihazları hedefledikçe, satıcılar şeffaf güvenlik uygulamalarına öncelik vermeli ve kullanıcıların bunları talep etmeleri gerekir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free