DrayTek แก้ไขช่องโหว่ระดับ Critical ใน routers ที่เข้าถึงได้จากอินเทอร์เน็ตมากกว่า 700,000 เครื่อง

DrayTek ออกแพตช์อัปเดตสำหรับเราเตอร์หลายรุ่นเพื่อแก้ไขช่องโหว่ 14 รายการ ที่มีระดับความรุนแรงแตกต่างกัน รวมทั้งช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่มีคะแนน CVSS สูงสุดที่ 10

ช่องโหว่ที่ Forescout Research – Vedere Labs ค้นพบนั้น ส่งผลกระทบต่อทั้งรุ่นที่ยังได้รับการสนับสนุนอยู่ และรุ่นที่ใกล้จะหมดอายุการใช้งาน อย่างไรก็ตาม DrayTek ได้มีการแก้ไขช่องโหว่ routers ดังกล่าวทั้งสองรุ่นแล้ว

นักวิจัยเตือนว่าจากการสแกนตรวจสอบของพวกเขา พบว่าเราเตอร์ DrayTek ประมาณ 785,000 เครื่องอาจมีความเสี่ยงต่อช่องโหว่ที่เพิ่งค้นพบ โดยมีเราเตอร์มากกว่า 704,500 เครื่องที่มีอินเทอร์เฟซเว็บที่เข้าถึงได้จากอินเทอร์เน็ต

รายละเอียดช่องโหว่

ช่องโหว่ส่วนใหญ่ที่ Vedere Labs ค้นพบคือช่องโหว่ buffer overflow และ cross-site scripting ที่มีระดับความรุนแรงปานกลาง ซึ่งเกิดจากข้อกำหนดการใช้งานหลายรูปแบบ

อย่างไรก็ตาม ช่องโหว่ 5 รายการนี้มีความเสี่ยงอย่างมากที่ต้องได้รับการแก้ไขโดยทันที สรุปได้ดังนี้

  • FSCT-2024-0006 : (คะแนน CVSS: 10.0) เป็นช่องโหว่ buffer overflow ในฟังก์ชัน GetCGI() ที่มีหน้าที่ในการจัดการข้อมูล HTTP request ซึ่งอาจนำไปสู่การปฏิเสธการให้บริการ (DoS) หรือการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE)
  • FSCT-2024-0007 : (คะแนน CVSS: 9.1) เป็นช่องโหว่ Command Injection ในระบบสื่อสารของระบบปฏิบัติการในไบนารี recvCmd ที่ใช้สำหรับการสื่อสารระหว่างระบบปฏิบัติการแบบ host และ guest โดยมีความเสี่ยงต่อการถูกโจมตีด้วย command injection ซึ่งอาจทำให้สามารถ escape จาก VM ได้
  • FSCT-2024-0014 : (คะแนน CVSS: 7.6) เป็นช่องโหว่ web server backend ที่ใช้ static string ในการกำหนดค่าเพื่อสร้าง pseudo-random number generator (PRNG) ใน OpenSSL สำหรับการเชื่อมต่อ TLS ซึ่งอาจนำไปสู่การเปิดเผยข้อมูล และการถูกโจมตีแบบ man-in-the-middle (MiTM)
  • FSCT-2024-0001 : (คะแนน CVSS: 7.5) เป็นช่องโหว่การใช้ข้อมูล credentials ของผู้ดูแลระบบที่เหมือนกันทั้งระบบ ซึ่งอาจนำไปสู่การ compromise ทั้งระบบได้หากมีข้อมูล credentials เหล่านี้ (คะแนน CVSS: 7.5)
  • FSCT-2024-0002 : (คะแนน CVSS: 7.5) เป็นช่องโหว่ของหน้า HTML ในส่วนของ Web UI จัดการอินพุตอย่างไม่เหมาะสม ส่งผลทำให้เกิดช่องโหว่ reflected XSS

จนถึงขณะนี้ยังไม่มีรายงานการโจมตีโดยใช้ช่องโหว่เหล่านี้ และรายละเอียดการวิเคราะห์ต่าง ๆ ก็ยังไม่ถูกเปิดเผย เพื่อให้ผู้ใช้มีเวลาเพียงพอในการติดตั้งแพตช์อัปเดตด้านความปลอดภัย

ช่องโหว่ดังกล่าวข้างต้นมีผลกับเราเตอร์จำนวน 24 รุ่น โดยมี 11 รุ่นที่ใกล้หมดอายุการใช้งานแล้ว แต่ก็ยังคงได้รับการอัปเดตแพตช์

สามารถดูรุ่น และเวอร์ชันเฟิร์มแวร์ที่ได้รับผลกระทบ รวมไปถึงสามารถอัปเกรดให้เป็นเวอร์ชันที่ปลอดภัยได้ตามตารางด้านล่าง

ผู้ใช้สามารถดาวน์โหลดเฟิร์มแวร์รุ่นล่าสุดสำหรับอุปกรณ์ของตนเองได้จากเว็บไซต์ official ของทาง DrayTek

อุปกรณ์ DrayTex กว่า 700,000 เครื่องที่เข้าถึงได้จากอินเทอร์เน็ต{}

Verdere Labs รายงานว่าพบอุปกรณ์มากกว่า 704,500 เครื่องมีอินเทอร์เฟซเว็บที่เข้าถึงได้จากอินเทอร์เน็ต ซึ่งจริง ๆ แล้วควรให้เข้าถึงได้จากเครือข่ายแบบ local network เท่านั้น

อุปกรณ์เกือบครึ่งที่ Forescout สามารถตรวจสอบได้โดยตรงนั้นตั้งอยู่ในสหรัฐอเมริกา ส่วน Shodan สามารถระบุข้อมูลเพิ่มเติมของจำนวนเครื่องที่อยู่ในประเทศอื่น ๆ เช่น สหราชอาณาจักร เวียดนาม เนเธอร์แลนด์ และออสเตรเลีย

นอกเหนือจากการอัปเดตเฟิร์มแวร์ให้เป็นล่าสุดแล้ว แนะนำให้ผู้ใช้ดำเนินการต่อไปนี้เพิ่มเติม

  • ปิดการใช้งานการเข้าถึงจากระยะไกลหากไม่จำเป็น และใช้ access control list รวมไปถึงเปิดใช้งาน two-factor authentication
  • ตรวจสอบการตั้งค่าแจ้งเตือนสำหรับการเปลี่ยนแปลงโดยที่ไม่ได้รับอนุญาต เช่น การเพิ่มผู้ใช้ และผู้ดูแลระบบ รวมไปถึงการเข้าใช้งานโปรไฟล์จากระยะไกล
  • ปิดใช้งานการเชื่อมต่อ SSL VPN ผ่านทางพอร์ต 443
  • เปิดใช้งาน syslog logging เพื่อตรวจสอบเหตุการณ์ที่น่าสงสัย
  • เปิดใช้งานการอัปเกรดอัตโนมัติไปยังหน้า HTTPS บนเว็บเบราว์เซอร์

ผู้ใช้ DrayTek ควรปิดใช้งานการเข้าถึงจากระยะไกลในอุปกรณ์ของตน เนื่องจากการโจมตีแบบ brute force มักจะมีเป้าหมายไปที่บริการเหล่านี้

ที่มา : bleepingcomputer.com