Ornamental dots. Two rows of three dots. The top row is a light blue. The bottom row is one light blue dot followed by two orange dots. Avviso di ricerca: 704.000 router DrayTek esposti

Avviso di ricerca: 704.000 router DrayTek esposti

Forescout Research - Vedere Labs | October 2, 2024

Riepilogo

  • 14 vulnerabilità critiche identificate nei prodotti DrayTek
  • Oltre 704.000 router DrayTek sono esposti a Internet
  • Le vulnerabilità hanno un impatto su 24 modelli
  • DrayTek ha corretto le vulnerabilità del firmware, tuttavia è necessaria una mitigazione
  • Raccomandazione: assicurati che tutti i dispositivi DrayTek sulla tua rete siano dotati di patch e utilizza strategie di mitigazione aggiuntive «DrayTek Mitigation Strategies»

I router sono gli eroi sconosciuti della sicurezza di rete. Queste risorse sono responsabili del mantenimento dei sistemi interni connessi al mondo esterno, ma sono spesso trascurate.

Fino a quando gli aggressori non scoprono e sfruttano le loro vulnerabilità. E non fraintendetemi, i criminali informatici lavorano 24 ore su 24 per trovare le crepe nella corazza dei router, utilizzandole come punti di ingresso per rubare dati o paralizzare le operazioni aziendali. In effetti, la nostra ricerca del 2024 mostra che i router sono la categoria di dispositivi più rischiosa tra tutte le risorse.

Perché così tante aziende ignorano queste vulnerabilità?

I recenti risultati di Forescout Research — Vedere Labs sottolineano la gravità del problema con 14 nuove vulnerabilità del router identificate nei prodotti DrayTek, inclusa una con il più alto grado di gravità possibile. Gli aggressori potrebbero ottenere il pieno controllo di questi router se non vengono risolti, aprendo la porta al ransomware o agli attacchi denial of service. Il risultato? Perdita finanziaria, danni alla reputazione e sfiducia dei clienti.

La storia delle vulnerabilità di DrayTek ha fatto notizia. Oltre alle nostre scoperte, l’FBI ha recentemente annunciato di aver bloccato una botnet che sfruttava tre CVE utilizzando prodotti DrayTek. Qualche settimana prima, la CISA ha aggiunto due CVE DrayTek al KEV che sono separati dalle nostre scoperte.

 

Ecco uno sguardo più da vicino all’impatto delle vulnerabilità, con indicazioni su come mitigare i rischi.

DrayTek è una famosa azienda di router

DrayTek, un produttore di apparecchiature di rete taiwanese, è specializzato nei settori residenziale e commerciale. I suoi router sono dotati di funzionalità avanzate, tra cui VPN, firewall e gestione della larghezza di banda. Grazie al suo ampio utilizzo in diversi settori, come quello sanitario, della vendita al dettaglio, della produzione e della pubblica amministrazione, gli asset DrayTek sono diventati gli obiettivi principali dei criminali informatici.

Il National Vulnerability Database (NVD) riporta che i router DrayTek hanno subito un aumento delle vulnerabilità critiche negli ultimi anni. Molti di questi problemi consentono

Remote Code Execution (RCE), che consente agli aggressori di assumere il controllo dei dispositivi da remoto. Questa tendenza ha attirato l’attenzione sia degli hacker criminali che degli attori sponsorizzati dallo stato, alzando ulteriormente la posta in gioco.

Principali risultati della ricerca di Vedere Labs

  • La gravità più elevata ha ricevuto un punteggio CVSS di 10; un’altra ha ottenuto un punteggio di 9,1
  • Esposizione diffusa: oltre 704.000 router DrayTek sono esposti a Internet
    • Il 38% è ancora vulnerabile a problemi simili identificati due anni fa
    • Il 75% di questi router vulnerabili viene utilizzato dalle aziende
  • Dispositivi fuori uso a rischio:
    • Le vulnerabilità hanno un impatto su 24 modelli
    • 11 dei quali a fine vita (EoL)
  • Il 63% dei dispositivi esposti sono:
    • Fine vendita (EoS) o EoL
    • Sono difficili da rattoppare e proteggere

RICHIEDI IL RAPPORTO

Potenziali scenari di attacco

I prodotti DrayTek offrono molte opportunità di attacco per i criminali informatici, in particolare quelli con la «Web UI» esposta a Internet. I potenziali scenari di attacco ai router includono:

  • Spionaggio ed esfiltrazione di dati:
    • Un utente malintenzionato potrebbe implementare un rootkit che sopravvive ai riavvii e agli aggiornamenti, consentendogli di intercettare e analizzare il traffico di rete, portando al furto di dati sensibili, come credenziali o altre informazioni riservate.
  • Movimento laterale:
    • Una volta all’interno della rete, un utente malintenzionato potrebbe spostarsi lateralmente per compromettere altri dispositivi provocando attacchi ransomware, denial-of-service (DoS) o persino la creazione di botnet utilizzate per attacchi distribuiti.
  • Utilizzo dei router come server C2:
    • I modelli DrayTek ad alte prestazioni come il Vigor3910 sono dotati di hardware avanzato che può essere riutilizzato e che potrebbe essere utilizzato come parte dei server di comando e controllo (C2), dove gli aggressori potrebbero lanciare ulteriori attacchi contro altre vittime.

Come parte del processo di divulgazione responsabile, DrayTek ha corretto tutte le vulnerabilità del firmware Vedere Labs. Tuttavia, la mitigazione deve essere eseguita dalle organizzazioni con questi prodotti sulle loro reti.

 

Approfondisci: scopri di più sulle scoperte nella nostra conversazione sulla ricerca su DrayTek.

GUARDA IL WEBINAR SCARICA IL RAPPORTO COMPLETO

Strategie di mitigazione DrayTek

Il modo migliore per proteggersi da queste vulnerabilità è assicurarsi che tutti i dispositivi interessati siano aggiornati con gli ultimi aggiornamenti del firmware forniti da DrayTek. Oltre all’applicazione delle patch, Forescout consiglia le seguenti strategie di mitigazione:

  • Disabilita l’accesso remoto:
    • Se l’accesso remoto non è richiesto, disattivalo completamente.
    • Per l’accesso remoto necessario, implementa gli elenchi di controllo degli accessi (ACL) e l’autenticazione a due fattori (2FA).
  • Monitoraggio degli eventi anomali:
    • Abilita la registrazione syslog per tenere traccia di attività insolite
    • Verificate regolarmente eventuali modifiche non autorizzate ai profili di accesso remoto o alle impostazioni amministrative.
  • Segmenta la tua rete:
    • Assicurati che la tua rete sia segmentata correttamente in modo che se un utente malintenzionato compromette un router, non possa accedere all’intera rete.
  • Sostituisci i dispositivi EoL:
    • Per i dispositivi che non possono essere patchati, valuta la possibilità di sostituirli.
    • I dispositivi meno recenti possono continuare a esporre vulnerabilità difficili o impossibili da risolvere con gli aggiornamenti software.
  • Aggiorna le password:
    • Cambia sempre le credenziali predefinite e utilizza password complesse e univoche per ogni dispositivo della tua rete.

Vedere Labs: consente alle organizzazioni di stare un passo avanti rispetto agli aggressori

La scoperta di queste vulnerabilità nei prodotti DrayTek evidenzia l’importanza della gestione dell’infrastruttura di rete e del mantenimento del livello di sicurezza di un’organizzazione. Con oltre 700.000 dispositivi esposti online e gli aggressori che prendono di mira sempre più i router, le organizzazioni devono adottare misure immediate per proteggersi.

Applicando le patch firmware disponibili e adottando le strategie di mitigazione consigliate, è possibile ridurre i rischi posti da queste vulnerabilità e garantire che la rete rimanga sicura.

Per maggiori dettagli tecnici e attacchi proof-of-concept, leggi il rapporto completo della ricerca.

OTTIENI LA RICERCA