Japonijos CERT perspėja, kad įsilaužėliai naudojasi nulinės dienos pažeidžiamumu IO Data maršrutizatorių įrenginiuose, kad pakeistų įrenginio nustatymus, vykdytų komandas ar net išjungtų užkardą.
Pardavėjas savo svetainėje paskelbtame saugos biuletenyje pripažino trūkumus. Tačiau tikimasi, kad pataisymai bus atlikti 2024 m. gruodžio 18 d., todėl iki tol naudotojai susidurs su rizika, nebent bus įjungtos švelninimo priemonės.
Pažeidžiamumas
Trys trūkumai, kurie buvo nustatyti 2024 m. lapkričio 13 d., yra informacijos atskleidimas, nuotolinis savavališkas OS komandų vykdymas ir galimybė išjungti ugniasienes.
Problemos apibendrinamos taip:
- CVE-2024-45841: neskelbtinų išteklių leidimai yra neteisingai sukonfigūruoti, todėl naudotojai, turintys žemo lygio teises, gali pasiekti svarbius failus. Pavyzdžiui, trečioji šalis, žinanti svečio paskyros kredencialus, gali pasiekti failus su autentifikavimo informacija.
- CVE-2024-47133: Leidžia autentifikuotiems administravimo vartotojams įvesti ir vykdyti savavališkas operacinės sistemos komandas įrenginyje, išnaudojant nepakankamą įvesties patvirtinimą valdant konfigūraciją.
- CVE-2024-52564: Nedokumentuotos programinės aparatinės įrangos funkcijos arba užpakalinės durys leidžia nuotoliniams užpuolikams išjungti įrenginio užkardą ir keisti nustatymus be autentifikavimo.
Trys problemos yra susijusios su UD-LT1, hibridiniu LTE maršruto parinktuvu, skirtu įvairiems ryšio sprendimams, ir jo pramoninio lygio versijai UD-LT1/EX.
Naujausia programinės aparatinės įrangos versija, v2.1.9, skirta tik CVE-2024-52564, o IO duomenys teigia, kad kitų dviejų pažeidžiamumų pataisymai bus pasiekiami 2.2.0 versijoje, kurią planuojama išleisti 2024 m. gruodžio 18 d.
Kaip pardavėjas patvirtino biuletenyje, klientai jau pranešė, kad trūkumai jau išnaudojami atakose.
„Neseniai gavome užklausų iš klientų, naudojančių mūsų hibridinius LTE maršrutizatorius UD-LT1“ ir „UD-LT1/EX“, kur buvo leista prieiga prie konfigūracijos sąsajos iš interneto be VPN“, – rašoma IO duomenų saugos patarime.
„Šie klientai pranešė apie galimą neteisėtą prieigą iš išorinių šaltinių.
Kol nebus prieinami saugos naujinimai, tiekėjas siūlo vartotojams įgyvendinti šias mažinimo priemones:
- Išjunkite nuotolinio valdymo funkciją visiems interneto ryšio būdams, įskaitant WAN prievadą, modemą ir VPN nustatymus.
- Apribokite prieigą tik prie VPN prijungtų tinklų, kad išvengtumėte neteisėtos išorinės prieigos.
- Pakeiskite numatytąjį „svečio“ vartotojo slaptažodį į sudėtingesnį, turintį daugiau nei 10 simbolių.
- Reguliariai stebėkite ir patikrinkite įrenginio nustatymus, kad anksti aptiktumėte neleistinus pakeitimus, iš naujo nustatykite įrenginio gamyklinius nustatymus ir iš naujo sukonfigūruokite, jei aptinkamas kompromisas.
IO DATA UD-LT1 ir UD-LT1 / EX LTE maršruto parinktuvai pirmiausia parduodami ir parduodami Japonijoje, skirti palaikyti kelis operatorius, pvz., NTT Docomo ir KDDI, ir yra suderinami su pagrindinėmis MVNO SIM kortelėmis šalyje.
