Modemer og rutere er ikke de mest glamorøse av tilkoblede teknologier. Faktisk betyr deres allestedsnærvær at de fleste organisasjoner glemmer at de selv er der. Imidlertid utfører de også en kritisk funksjon for å gjøre det mulig for nettverksenheter og maskiner å nå det offentlige internett. Uten dem ville de fleste virksomheter slitt med å operere.

På grunn av deres plassering i kanten av nettverket, er rutere også et stadig mer populært mål. Det hjelper ikke at mange er fulle av sårbarheter og kanskje ikke oppdateres like ofte som andre kritiske enheter. EN rapport fra Forescout utgitt i oktober advarer om 14 nye fastvarefeil i DrayTek-rutere.

Det er på tide å gjøre alvor av å beskytte bedriftsrutere.

Hva er galt med DrayTek?

I følge Forescout er to av de 14 nye sårbarhetene den oppdaget i rutere fra den taiwanske produsenten vurdert som kritiske: CVE-2024-41592 har en maksimal CVSS-score på 10, mens CVE-2024-41585 får en 9.1.

Førstnevnte er et bufferoverløp i GetCGI()-funksjonen til DrayTek VigorConnect Web UI. Det kan tilsynelatende utløses av en spesiallaget og overdrevent lang spørringsstreng til en hvilken som helst av de 40 CGI-sidene i nettgrensesnittet. Dette kan igjen brukes til å oppnå tjenestenekt eller, hvis det er lenket med OS-kommandeinjeksjonsfeil CVE-2024-41585, for å få ekstern rottilgang til det underliggende vertsoperativsystemet.

Det er potensielt langt mer alvorlig, ettersom det vil gi en angriper «nøklene til kongeriket» – noe som muliggjør fullstendig fjernkontroll av den målrettede ruteren og, ved å flytte sideveis, andre enheter på samme nettverk, sier Forescout.

Populariteten til DrayTek-rutere globalt fremhever nettverksforsvarernes utfordringer og muligheten for trusselaktører. Ifølge Forescout ble over 704,000 425,000 rutere eksponert for internett – og derfor åpne for utnyttelse – da rapporten ble utarbeidet, inkludert XNUMX XNUMX i Storbritannia og EU. De fleste er tilsynelatende ment for forretningsbruk.

DrayTek hadde lappet alle fastvaresårbarhetene da rapporten ble publisert. Likevel er det ingen garanti for at kundene vil bruke oppdateringene før potensielle forsøk på å utnytte dem. Leverandøren er heller på ingen måte den eneste produsenten hvis produkter er i fare for kompromittering. I september, en felles rådgiving fra flere Five Eyes-sikkerhetsbyråer avslørte eksistensen av et massivt botnett med 260,000 XNUMX kaprede enheter, inkludert rutere fra MikroTik, Ubiquiti, Telesquare, Telstra, Cisco og NetGear.

Hvorfor rutere?

Modemer og rutere er helt klart et populært mål for trusselaktører. Dette er fordi de:

  • Er ofte fulle av uopprettede sårbarheter som kan utnyttes
  • De brukes ofte av små og mellomstore bedrifter med færre sikkerhetsressurser og kunnskap, noe som kan gjøre rutere utsatt
  • Er enkle for hackere å skanne eksternt
  • Kan bare være beskyttet av fabrikkstandardlegitimasjon
  • Tilby en gateway til andre enheter på samme nettverk og kan derfor brukes som en første tilgangsvektor for løsepengeprogramvare og datatyveri
  • De kan kapres og brukes som roboter i et større botnett for å starte DDoS-angrep på andre eller skjule mer sofistikerte trusselkampanjer
  • Kan bli gjenbrukt som kommando-og-kontroll-servere (hvis de er høyytelsesrutere)

End-of-life (EoL) eller end-of-sale (EoS) enheter er spesielt utsatt ettersom patcher/oppdateringer kanskje ikke er tilgjengelig fra leverandøren. Forescout hevder at 11 av de 24 påvirkede DrayTek-modellene som er oppført i sin forskning, var enten EoL eller EoS. Selv om plaster kan påføres, er de ofte ikke det. Nesten to femtedeler (40 %) av de i rapporten er fortsatt sårbare for lignende feil identifisert to år tidligere, ifølge Forescout.

«Rutere kan gi tilgang til, eller til og med kontroll over, eiendeler i en organisasjons nettverk. Som skjelettene til nettverkene og undernettverkene de danner, er de en stor ressurs for en angriper å infisere, sier Black Duck Softwares administrerende sikkerhetskonsulent Adam Brown til ISMS.online.

"Videre administreres de av individer med de høyeste nivåene av sikkerhetslegitimasjon, som, hvis de brytes, gir dårlige skuespillere nøklene til kongeriket."

Dette er ikke en teoretisk trussel. I tillegg til den massive kinesiske trusselkampanjen som er fremhevet ovenfor, kan vi peke på følgende:

Volt Typhoon: En kinesisk statsstøttet APT-gruppe som utnyttet nulldagssårbarheter i Internett-tilkoblede nettverksenheter som rutere for å kompromittere strategisk viktige kritiske infrastrukturnettverk i USA. Sluttmålet, sier Cybersecurity and Infrastructure Security Agency (CISA), var å være klar til å sette i gang destruktive angrep i tilfelle en militær konflikt.

BlackTech: En annen kinesisk statlig APT-gruppe som målrettet forskjellige organisasjoner i USA og Japan. Den var rettet mot dårlig beskyttede rutere i avdelingskontorer, slik at angripere kunne blande seg med vanlig trafikk når de svingte til andre enheter i bedriftens hovedkvarter. I noen tilfeller fikk motstanderne administratorrettigheter, noe som gjorde dem i stand til å erstatte fastvaren på ruterne og/eller slå av logging for å skjule sporene deres.

Cyclops Blink og VPNFilter: To sofistikerte flerårige kampanjer fra Russlands Sandworm-gruppe, som var rettet mot små kontor/hjemmekontor (SOHO)-rutere og andre nettverksenheter. Utplassering av den anonyme skadevare ble beskrevet som "vilkårlig og utbredt", noe som førte til at observatører spekulerte i at formålet var å lage botnett som var i stand til å lansere trusselkampanjer mot andre mål.

APT28/Fancy Bear: En produktiv russisk trusselgruppe målrettet Ubiquiti EdgeRouters som en del av en bredere kampanje for å «tilrettelegge for ondsinnede cyberoperasjoner over hele verden» – inkludert ved å være vertskap for phishing-sider og tilpassede angrepsverktøy.

Hvordan redusere trusselen

Noen amerikanske lovgivere ønsker å undersøke kinesiskproduserte rutere i et forsøk på å dempe Beijings cyberspionasjetrussel. Men dette vil ikke gjøre noe for å takle problemet med at rutere laget andre steder blir kapret gjennom stjålne/brute-tvungen legitimasjon eller sårbarhetsutnyttelse. Så hvordan kan organisasjoner bedre beskytte ruterne sine? Noen beste fremgangsmåter vil hjelpe.

Et utmerket sted å starte er velprøvd cyberhygiene som:

  • Regelmessig oppdatering av fastvare så snart oppdateringer er tilgjengelige, ved hjelp av automatiserte oppdateringskanaler der det er mulig
  • Erstatter standardpassord med sterk, unik legitimasjon
  • Slå av ubrukte tjenester og porter som UPnP, fjernadministrasjon, fildeling, etc
  • Skifter ut EoL-settet umiddelbart for å sikre maksimal beskyttelse mot utnyttelse.

Black Duck Softwares Brown legger til at Zero Trust-sikkerhetstilnærminger også vil hjelpe organisasjoner med å redusere rutersikkerhetsrisikoer, for eksempel nettverksovervåking for uvanlige trafikkvolumer og segmentering sammen med retningslinjer for minst privilegert tilgang.

"Sikkerhetsarkitektur må vurderes når du distribuerer nettverk, og derfor rutere, med forsiktighet for å sikre at tilgang til ruterkonsoller har passende sikkerhetskontroller," legger han til. "Nettverkstillitssoner må vurderes, og en Zero Trust-tilnærming til arkitektur i alle lag vil bidra til å begrense eksplosjonsradiusen hvis en hendelse skulle inntreffe."

Som eksemplene ovenfor fremhever, er mektige statsstøttede grupper så vel som sofistikerte nettkriminalitetsenheter ute etter å dra nytte av sikkerhetshull for å kapre rutere og nettverkene de går rundt. Med små og mellomstore bedrifter i trådkorset, er det på tide å lukke dette kritiske sikkerhetshullet.