Algunos de los proveedores de servicios de comunicaciones (CSP) más grandes del Reino Unido pueden haber estado en riesgo significativo debido a una serie de 14 vulnerabilidades en los dispositivos enrutadores Vigor de Draytek reveladas el miércoles 2 de octubre por ForeScout, incluidos grandes nombres b2b como Daisy Communications, Gamma Telecom y Zen Internet. , e incluso BT.
DrayTek puso a disposición parches para todas las vulnerabilidades antes de la divulgación coordinada. Sin embargo, según ForeScout, en el momento de la divulgación, más de 704.000 enrutadores estaban expuestos en línea y, dado que el FBI eliminó una botnet que incluía algunos activos de DrayTek utilizados por espías chinos hace apenas unas semanas, puede haber un peligro considerable de compromisos posteriores.
Los investigadores de Forescout, Stanislav Dashevskyi y Francesco La Spina, dijeron que aproximadamente el 75% de los dispositivos vulnerables se utilizaban en entornos comerciales. Escribieron: “Las implicaciones para la continuidad del negocio y la reputación son graves. Un ataque exitoso podría provocar un tiempo de inactividad significativo, pérdida de confianza del cliente y sanciones regulatorias, todo lo cual recae directamente sobre los hombros de un CISO”.
Los errores varían en cuanto a su gravedad e impacto. Incluyen uno que permite comprometer todo el sistema, dos que permiten ataques de secuencias de comandos entre sitios (XSS) reflejados y dos que permiten ataques XSS almacenados, seis que permiten denegación de servicio (DoS) y ejecución remota de código (RCE), uno que permite solo DoS. , uno que permite la ejecución de comandos del sistema operativo (SO) y el escape de la máquina virtual y, finalmente, uno que permite la divulgación de información y ataques de intermediario.
Probablemente el más crítico, con la puntuación CVSS más alta posible de 10, es CVE-2024-41592, que conduce a DoS y RCE, en el que una función en la interfaz de usuario web (UI) del enrutador utilizada para recuperar datos de solicitudes HTTP se vuelve vulnerable a un desbordamiento del búfer al procesar parámetros de cadena de consulta.
Cuando se encadena con CVE-2024-41585, el error de ejecución de comandos del sistema operativo y la segunda falla más grave del conjunto, es posible que un actor de amenazas obtenga acceso raíz remoto en el sistema operativo host y realice reconocimiento de red y movimiento lateral, lo que permite lanzamiento de actividad de botnet e incluso conduce a la implementación de malware o ransomware.
Ahora, un análisis adicional realizado por Censys ha revelado que los dispositivos DrayTek Vigor expuestos se encuentran predominantemente en el Reino Unido, seguido de Vietnam, los Países Bajos y Taiwán. Del total de 704.000, 421.476 exponen la interfaz de usuario del administrador de VigorConnect en línea.
“Las redes con la mayor concentración de estas interfaces de administración son una combinación de grandes ISP nacionales y proveedores de telecomunicaciones regionales. Encabezando la lista está HINET, con sede en Taiwán, lo cual tiene sentido dado que DrayTek es una empresa taiwanesa”, escribió el equipo de Censys.
Específicamente en el Reino Unido, Censys encontró 35.866 hosts vulnerables en Gamma Telecom, 31.959 en BT, 21.275 en Daisy Communications y 13.147 en Zen Internet.
En otras partes de Europa, puede existir un riesgo significativo en KPN en los Países Bajos, con 9.921 hosts vulnerables, y Deutsche Telekom en Alemania, con 7.732.
Se recomienda a los operadores de los enrutadores Vigor vulnerables que parcheen su firmware de inmediato, pero también que tengan cuidado de restringir el acceso remoto público a las IU web administrativas y apliquen la autenticación multifactor (MFA) para protegerlas mejor.
Un portavoz de BT dijo: “Somos conscientes de esta vulnerabilidad. Estamos trabajando con proveedores externos para implementar soluciones”.
Computer Weekly se puso en contacto con las otras organizaciones afectadas nombradas por Censys, pero ninguna había respondido al momento de la publicación.
operación del fbi
La operación del FBI de septiembre de 2024 contra actores de amenazas que explotaban el kit de DrayTek, así como productos fabricados por otros proveedores, involucró a una empresa con sede en China que actuó como fachada para las actividades de recopilación de inteligencia de Beijing mediante el secuestro de hardware de red y otros dispositivos de Internet de las cosas (IoT). en una botnet Mirai que comprende 250.000 dispositivos.
Integrity Technology Group, con sede en Beijing, se anuncia a sí mismo como un proveedor de servicios de seguridad de red, pero la investigación del FBI lo vinculó con una actividad consistente con un actor de amenazas respaldado por el estado rastreado como Flax Typhoon.
Activo desde 2021, se sabe que el grupo de amenazas persistentes avanzadas (APT) Flax Typhoon opera principalmente en redes propiedad de organizaciones con sede en Taiwán, aunque, según Microsoft, se ha observado que apunta a organizaciones en otras partes del sudeste asiático, así como en África y América del Norte. .
Se ha observado principalmente operando dentro de organismos gubernamentales, instituciones educativas y organizaciones de fabricación y TI.