DrayTek ออกแพตช์อัปเดตสำหรับเราเตอร์หลายรุ่นเพื่อแก้ไขช่องโหว่ 14 รายการ ที่มีระดับความรุนแรงแตกต่างกัน รวมทั้งช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่มีคะแนน CVSS สูงสุดที่ 10
ช่องโหว่ที่ Forescout Research – Vedere Labs ค้นพบนั้น ส่งผลกระทบต่อทั้งรุ่นที่ยังได้รับการสนับสนุนอยู่ และรุ่นที่ใกล้จะหมดอายุการใช้งาน อย่างไรก็ตาม DrayTek ได้มีการแก้ไขช่องโหว่ routers ดังกล่าวทั้งสองรุ่นแล้ว
นักวิจัยเตือนว่าจากการสแกนตรวจสอบของพวกเขา พบว่าเราเตอร์ DrayTek ประมาณ 785,000 เครื่องอาจมีความเสี่ยงต่อช่องโหว่ที่เพิ่งค้นพบ โดยมีเราเตอร์มากกว่า 704,500 เครื่องที่มีอินเทอร์เฟซเว็บที่เข้าถึงได้จากอินเทอร์เน็ต
รายละเอียดช่องโหว่
ช่องโหว่ส่วนใหญ่ที่ Vedere Labs ค้นพบคือช่องโหว่ buffer overflow และ cross-site scripting ที่มีระดับความรุนแรงปานกลาง ซึ่งเกิดจากข้อกำหนดการใช้งานหลายรูปแบบ
อย่างไรก็ตาม ช่องโหว่ 5 รายการนี้มีความเสี่ยงอย่างมากที่ต้องได้รับการแก้ไขโดยทันที สรุปได้ดังนี้
- FSCT-2024-0006 : (คะแนน CVSS: 10.0) เป็นช่องโหว่ buffer overflow ในฟังก์ชัน GetCGI() ที่มีหน้าที่ในการจัดการข้อมูล HTTP request ซึ่งอาจนำไปสู่การปฏิเสธการให้บริการ (DoS) หรือการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE)
- FSCT-2024-0007 : (คะแนน CVSS: 9.1) เป็นช่องโหว่ Command Injection ในระบบสื่อสารของระบบปฏิบัติการในไบนารี recvCmd ที่ใช้สำหรับการสื่อสารระหว่างระบบปฏิบัติการแบบ host และ guest โดยมีความเสี่ยงต่อการถูกโจมตีด้วย command injection ซึ่งอาจทำให้สามารถ escape จาก VM ได้
- FSCT-2024-0014 : (คะแนน CVSS: 7.6) เป็นช่องโหว่ web server backend ที่ใช้ static string ในการกำหนดค่าเพื่อสร้าง pseudo-random number generator (PRNG) ใน OpenSSL สำหรับการเชื่อมต่อ TLS ซึ่งอาจนำไปสู่การเปิดเผยข้อมูล และการถูกโจมตีแบบ man-in-the-middle (MiTM)
- FSCT-2024-0001 : (คะแนน CVSS: 7.5) เป็นช่องโหว่การใช้ข้อมูล credentials ของผู้ดูแลระบบที่เหมือนกันทั้งระบบ ซึ่งอาจนำไปสู่การ compromise ทั้งระบบได้หากมีข้อมูล credentials เหล่านี้ (คะแนน CVSS: 7.5)
- FSCT-2024-0002 : (คะแนน CVSS: 7.5) เป็นช่องโหว่ของหน้า HTML ในส่วนของ Web UI จัดการอินพุตอย่างไม่เหมาะสม ส่งผลทำให้เกิดช่องโหว่ reflected XSS
จนถึงขณะนี้ยังไม่มีรายงานการโจมตีโดยใช้ช่องโหว่เหล่านี้ และรายละเอียดการวิเคราะห์ต่าง ๆ ก็ยังไม่ถูกเปิดเผย เพื่อให้ผู้ใช้มีเวลาเพียงพอในการติดตั้งแพตช์อัปเดตด้านความปลอดภัย
ช่องโหว่ดังกล่าวข้างต้นมีผลกับเราเตอร์จำนวน 24 รุ่น โดยมี 11 รุ่นที่ใกล้หมดอายุการใช้งานแล้ว แต่ก็ยังคงได้รับการอัปเดตแพตช์
สามารถดูรุ่น และเวอร์ชันเฟิร์มแวร์ที่ได้รับผลกระทบ รวมไปถึงสามารถอัปเกรดให้เป็นเวอร์ชันที่ปลอดภัยได้ตามตารางด้านล่าง
ผู้ใช้สามารถดาวน์โหลดเฟิร์มแวร์รุ่นล่าสุดสำหรับอุปกรณ์ของตนเองได้จากเว็บไซต์ official ของทาง DrayTek
อุปกรณ์ DrayTex กว่า 700,000 เครื่องที่เข้าถึงได้จากอินเทอร์เน็ต{}
Verdere Labs รายงานว่าพบอุปกรณ์มากกว่า 704,500 เครื่องมีอินเทอร์เฟซเว็บที่เข้าถึงได้จากอินเทอร์เน็ต ซึ่งจริง ๆ แล้วควรให้เข้าถึงได้จากเครือข่ายแบบ local network เท่านั้น
อุปกรณ์เกือบครึ่งที่ Forescout สามารถตรวจสอบได้โดยตรงนั้นตั้งอยู่ในสหรัฐอเมริกา ส่วน Shodan สามารถระบุข้อมูลเพิ่มเติมของจำนวนเครื่องที่อยู่ในประเทศอื่น ๆ เช่น สหราชอาณาจักร เวียดนาม เนเธอร์แลนด์ และออสเตรเลีย
นอกเหนือจากการอัปเดตเฟิร์มแวร์ให้เป็นล่าสุดแล้ว แนะนำให้ผู้ใช้ดำเนินการต่อไปนี้เพิ่มเติม
- ปิดการใช้งานการเข้าถึงจากระยะไกลหากไม่จำเป็น และใช้ access control list รวมไปถึงเปิดใช้งาน two-factor authentication
- ตรวจสอบการตั้งค่าแจ้งเตือนสำหรับการเปลี่ยนแปลงโดยที่ไม่ได้รับอนุญาต เช่น การเพิ่มผู้ใช้ และผู้ดูแลระบบ รวมไปถึงการเข้าใช้งานโปรไฟล์จากระยะไกล
- ปิดใช้งานการเชื่อมต่อ SSL VPN ผ่านทางพอร์ต 443
- เปิดใช้งาน syslog logging เพื่อตรวจสอบเหตุการณ์ที่น่าสงสัย
- เปิดใช้งานการอัปเกรดอัตโนมัติไปยังหน้า HTTPS บนเว็บเบราว์เซอร์
ผู้ใช้ DrayTek ควรปิดใช้งานการเข้าถึงจากระยะไกลในอุปกรณ์ของตน เนื่องจากการโจมตีแบบ brute force มักจะมีเป้าหมายไปที่บริการเหล่านี้
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.