Os roteadores D-Link estão em sério risco de controle remoto por um invasor devido a falhas de dia zero. Segundo pesquisadores, o problema está em erros do firmware. Isso abre vários modelos de roteador VPN D-Link para ataques de dia zero. As falhas, que precisam de uma correção completa do fornecedor, permitem que os criminosos lancem ataques de injeção de comando root que podem ser executados remotamente e permitem o controle do dispositivo.
Impactados estão os modelos de roteadores D-Link DSR-150, DSR-250, DSR-500 e DSR-1000AC VPN executando as versões de firmware 3.14 e 3.17, de acordo com um relatório da Digital Defense. Os ataques dependem de três bugs identificados pelos pesquisadores como uma falha de injeção de comando de raiz remota de LAN/WAN não autenticada, vulnerabilidade de injeção de comando de root autenticado e uma injeção de crontab autenticada.
As falhas (CVE-2020-25757, CVE-2020-25759, CVE-2020-25758) foram confirmadas pela D-Link. No entanto, a empresa diz que os patches de firmware beta e mitigações de hot-patch disponíveis para seus modelos DSR-150, DSR-250 e DSR-500 reduzem significativamente a capacidade de um adversário de atingir um roteador vulnerável.
As duas vulnerabilidades existem e os patches estão em desenvolvimento. Uma das vulnerabilidades relatadas é como o dispositivo funciona funcionalmente, e a D-Link não irá corrigi-lo nesta geração de produtos, escreveu a D-Link.
Roteadores D-Link em risco de controle remoto por falhas de dia zero
Alguns dos modelos de roteadores afetados são de 2012 e parecem não ter o mesmo ritmo de lançamentos de patch que os modelos de roteadores D-Link mais modernos. Por exemplo, o DSR-150 da D-Link, saiu há mais de sete anos.
Da mesma forma, faltam informações ou correções para modelos de roteadores mais recentes DSR-500 e DSR-1000AC VPN na página de suporte da D-Link. Ambos foram identificados pela Digital Defense como vulneráveis a falhas de injeção de comando root que podem ser exploradas remotamente.
A realidade do trabalho em casa aumenta os riscos do roteador
Os roteadores são dispositivos de rede doméstica comuns disponíveis em vários pontos de venda. Assim, pessoas que trabalham remotamente devido à pandemia de COVID-19 provavelmente estão expondo não apenas seus próprios ambientes, mas também redes corporativas. É o que observaram os pesquisadores da Digital Defense.
A vulnerabilidade principal pode ser explorada na Internet sem autenticação usando interfaces WAN e LAN, dando a um invasor remoto não autenticado com acesso à interface da web do roteador a capacidade de executar comandos arbitrários como root, “ganhando efetivamente controle completo do roteador”, de acordo com o relatório de Defesa Digital.
Com esse acesso, um invasor pode interceptar e / ou modificar o tráfego, causar condições de negação de serviço e lançar mais ataques em outros ativos, disseram os pesquisadores. Eles acrescentaram que os roteadores D-Link podem conectar até 15 outros dispositivos simultaneamente.
D-Link oferece insights técnicos
A D-Link forneceu alguns detalhes técnicos sobre o bug em seu relatório, observando que “as seguintes ações Lua CGI, que são acessíveis sem autenticação, executam uma função de biblioteca Lua que passa dados fornecidos pelo usuário para uma chamada para os.popen () como parte de um comando que pretende calcular um hash: /platform.cgi?action=duaAuth, /platform.cgi?action=duaLogout.”
Além da vulnerabilidade de injeção de comando, a Digital Defense também relatou à D-Link dois outros problemas que os invasores usam para assumir o controle dos roteadores, disse a empresa.
A segunda falha é semelhante à da empresa, mas requer um usuário com autenticação e acesso à interface da web “Unified Services Router” para injetar comandos arbitrários com privilégios de root, de acordo com a D-Link.
O Lua CGI, que lida com solicitações do formulário ‘Gerenciamento de pacotes’ na interface da web do ‘Roteador de serviços unificados’, não tem filtragem do lado do servidor para a carga útil dos parâmetros POST de várias partes, que são passados para os. execute () funções destinadas a mover o arquivo carregado para outro diretório, de acordo com D-Link.
O terceiro problema é uma vulnerabilidade de injeção de crontab de autenticação que permite que usuários autenticados com acesso à interface da web “Unified Services Router”, seja em LAN ou WAN, injetem entradas CRON arbitrárias, de acordo com a D-Link. Eles terão execução como root, modificando um arquivo de configuração do roteador baixado, atualizando o CRC e recarregando o arquivo de configuração criado resultante, disse a empresa.
O mecanismo do arquivo de configuração é autenticado durante o upload e é facilmente contornado por um usuário mal-intencionado que cria um arquivo de configuração elaborado que adiciona novas entradas de cron para executar comandos arbitrários como root, de acordo com a D-Link.
Patches beta e correções parciais
Os patches finais para as duas primeiras falhas estão atualmente em desenvolvimento e chegarão em meados de dezembro, de acordo com a D-Link.
A D-Link fez um patch na forma de um hotfix para as versões e modelos de firmware afetados. Consulte as informações fornecidas no anúncio de suporte da D-Link. O lançamento oficial do firmware está previsto para meados de dezembro. Os usuários devem verificar seu modelo de hardware e firmware para identificar dispositivos vulneráveis e aplicar o hotfix fornecido e quaisquer outras atualizações até que o firmware oficial esteja disponível, escreveu a Digital Defense.
As redes domésticas e os dispositivos que as operam aumentaram as preocupações com a segurança desde março. Isso coincide com a época do trabalho em casa devido à COVID-19. Esta é uma situação para a qual muitas organizações estavam despreparadas.
À medida que a pandemia persiste, também aumentam as preocupações com a segurança das redes corporativas quando conectadas a redes domésticas, que são menos seguras e apresentam uma série de novas ameaças.
De fato, um relatório divulgado no início deste ano descobriu que a maioria dos roteadores domésticos contém uma série de vulnerabilidades conhecidas. E não são poucas, chegando a casa das centenas de falhas sem qualquer tipo de correção. Portanto, muitos dos que trabalham atualmente em casa estão provavelmente em risco.
The ThreatPost