Фирма по обеспечению безопасности микропрограмм Eclypsium и Исследовательский центр кибербезопасности Synopsys (CyRC) на прошлой неделе опубликовали отчеты о глобальных недостатках оборудования и множественных дырах в API, обнаруженных в программном пакете центра обработки вызовов .
Отдельные сообщения приходят вслед за новостями от F-Secure о том, что 150 различных многофункциональных принтеров (МФУ) HP содержат дыры в системе безопасности. По оценкам F-Secure, с учетом того, что HP составляет 40 процентов рынка периферийного оборудования, многие компании по всему миру, вероятно, используют уязвимые устройства
.
Расположенная в Латвии компания MikroTik, поставщик маршрутизаторов и беспроводных интернет-устройств с 1996 года, насчитывает более двух миллионов устройств по всему миру. Эти устройства мощные. Исследование Eclypsium, опубликованное 9 декабря, показывает, что они также часто очень уязвимы.
CyRC 7 декабря раскрыла, что маршрутизатор со слабым интерфейсом прикладного программирования (API) может использоваться удаленно для чтения настроек системы без аутентификации. Он также может разрешить выполнение произвольного кода для любого аутентифицированного пользователя через неограниченную загрузку файла. Уязвимое программное обеспечение делает сотрудников и клиентов уязвимыми для украденных паролей, фишинговых писем и других украденных данных с сервера.
Содержание статьи
Eclypsium Blog Fosters Report
Устройства MikroTik являются фаворитом среди злоумышленников, которые присвоили устройства для всего, от DDoS-атак, командного управления (также известного как «C2»), туннелирования трафика и многого другого. согласно исследованию MikroTik компании Eclypsium под названием «Когда медовые пчелы становятся шершнями-убийцами», которое легло в основу отчета
Часть исследования проливает свет на эту проблему. Отчет отображает поверхность атаки поставщика, а затем предоставляет исследователям и группам безопасности инструменты, которые они могут использовать для поиска как уязвимых, так и уже скомпрометированных устройств.
Поскольку такой огромный процент этих устройств находился в уязвимом состоянии в течение многих лет, исследователи также решили использовать те же тактики, техники и процедуры (ДТС), которые используют злоумышленники. Это привело к обнаружению того, может ли данное устройство уже быть взломано, и к определению, исправлено оно или нет.
В отчете рассматриваются 1) причины, по которым эти устройства становятся мишенью, 2) известные угрозы и возможности, 3) отображение поверхностей атаки в естественных условиях, и 4) то, что группы безопасности предприятия могут с этим сделать.
MikroTik Prime Target
Увеличение числа пользователей, работающих из дома, дает злоумышленникам множество легко обнаруживаемых уязвимых устройств, которые могут предоставить злоумышленникам легкий доступ к домашним устройствам сотрудников и ресурсам предприятия.
«Фактически, по периметру столько же отверстий, сколько в пчелином гнезде шестиугольников», — говорится в отчете. «У злоумышленников есть инструменты для поиска уязвимых устройств MikroTik, а у многих предприятий их нет».
Исследователи обнаружили, что устройства MikroTik подвержены уязвимостям. Они часто поставляются с учетными данными администратора по умолчанию / пустыми паролями. Даже устройства, предназначенные для корпоративных сред, поставляются без настроек по умолчанию для порта WAN.
Функция автоматического обновления MikroTik редко включается. Многие устройства просто никогда не обновляются. У них сложный интерфейс настройки, поэтому пользователи могут легко совершать рискованные ошибки.
Исследователи обнаружили тысячи уязвимых и устаревших устройств, которые легко обнаружить в Интернете, некоторым из них более десяти лет. В совокупности у злоумышленников есть много возможностей получить полный контроль над очень мощными устройствами. Они могут нацеливаться на устройства, расположенные за портом LAN, а также в Интернете.
Как уменьшить опасность уязвимых устройств
Клиенты Eclypsium могут использовать его сканер сетевых устройств для снятия отпечатков пальцев на устройствах MikroTik. Этот процесс использует ответы устройств HTTP и UPnP до конкретной версии.
Платформа также обеспечивает автоматический анализ устройств MikroTik для выявления уязвимостей и угроз. Это позволит найти устройства, требующие обновлений или исправлений.
Клиенты MikroTik без Eclypsium могут загрузить бесплатный инструмент оценки MikroTik. Этот инструмент проверит устройства MikroTik, чтобы узнать, существует ли сценарий планировщика или устройство содержит критическую уязвимость CVE-2018-14847.
MikroTik опубликовал информацию об усилении защиты своих устройств. Он включает ответ на ботнет Meris, а также инструкции по обеспечению безопасности устройств MikroTik, а также по выявлению и устранению любых угроз.
Серьезная ошибка программного обеспечения
CyRC Vulnerability Advisory сообщила об обнаружении множества уязвимостей в программном пакете GOautodial call-центра.
GOautodial, который, по утверждениям, имеет 50 000 пользователей колл-центров по всему миру, имеет открытый исходный код и свободно доступен для загрузки. Он также доступен в виде платной облачной службы от нескольких поставщиков.
Обнаруженные уязвимости можно использовать удаленно для чтения настроек системы без аутентификации и разрешения выполнения произвольного кода для любого аутентифицированного пользователя посредством неограниченной загрузки файла.
«Хорошая новость заключается в том, что если система GOautodial не подключена напрямую к Интернету — что кажется маловероятным — злоумышленнику сначала потребуется получить доступ к сети, чтобы использовать любую из этих уязвимостей», — Скотт Толли, инженер по продажам Исследовательская группа Synopsys сообщила TechNewsWorld.
Есть подтвержденные инциденты повреждения из-за уязвимостей MikroTik, подтвердил Скотт Шеферман, главный кибер-стратег Eclypsium.
Насколько мощен такой ботнет, видно из приведенного им примера.
«DDOS-атака уровня 7 Яндекс засвидетельствовала ~ 22 млн запросов в секунду (запросов в секунду). Даже при консервативных 100 запросах в секунду 287000 уязвимых устройств (уязвимых для Winbox), если они будут использоваться в такой DDoS-атаке, приведут к ~ 28 миллионам запросов в секунду, что очень близко к ~ 22 миллионам запросов в секунду, наблюдаемым во время Meris Yandex. DDoS-атака ».
Две ключевые уязвимости
Первая проблема — CVE-2021-43 Synopsys Cybersecurity Research Center (CyRC) 175: Нарушенная аутентификация — попадает в категорию A01 Broken Access Control на сайте Список 10 лучших OWASP. Благодаря этой уязвимости любой злоумышленник, имеющий доступ к внутренней сети, на которой размещен GOautodial, может украсть конфиденциальные данные конфигурации.
Украденные данные могут включать пароли по умолчанию от сервера GOautodial. Злоумышленникам не потребуются какие-либо учетные данные, такие как имя пользователя или пароль, для подключения к другим связанным системам в сети, таким как телефоны или службы VoIP.
Вторая проблема — CVE-2021-43176: включение локального файла с обходом пути — позволяет любому аутентифицированному пользователю на любом уровне, включая сотрудников контакт-центра, получить удаленное выполнение кода. Это позволило бы им получить полный контроль над приложением GOautodial на сервере.
Злоумышленники могли украсть данные у всех сотрудников и клиентов и даже переписать приложение, чтобы внедрить злонамеренное поведение, такое как кража паролей или подделка сообщений. Спуфинг — это отправка сообщений или электронных писем, которые выглядят так, как будто они исходят от кого-то другого.
Затронутое программное обеспечение
Версии API GOautodial до или до фиксации b951651 27 сентября кажутся уязвимыми. Сюда входит последний общедоступный установщик ISO GOautodial-4-x86_64-Final-20191010-0150.iso.
Обе уязвимости были исправлены 20 октября после фиксации 15a40bc.
Пользователи GOautodial могут исправить уязвимости, обновившись до последней версии, доступной на GitHub. По словам Толли, об этом сообщает группа GOaudodial
.
Пользователи должны быть заинтересованы в обновлении, поскольку последствия для целостности сервера GOautodial очень серьезны, предупредил Толли.
«Любой аутентифицированный пользователь, например, обычный работник центра обработки вызовов, может получить контроль над всем серверным приложением. Помимо внутренней угрозы, любой злоумышленник, получивший контроль над одной учетной записью обычного пользователя, может воспользоваться этим », — сказал он.
Также возможно украсть пароли по умолчанию и другие конфиденциальные данные конфигурации без каких-либо действительных учетных данных, добавил он.