Hackeri využívajú novú chybu obchádzania overovania, ktorá ovplyvňuje milióny arkádskych smerovačov

Neidentifikovaní aktéri hrozieb aktívne využívajú kritickú zraniteľnosť pri obchádzaní autentifikácie na únos domácich smerovačov v rámci snahy o ich kooptovanie do botnetu vo variante Mirai používaného na vykonávanie DDoS útokov, len dva dni po jeho zverejnení.

Sledované ako CVE-2021-20090 (skóre CVSS: 9.9), slabina sa týka zraniteľnosti pri prechode cesty vo webových rozhraniach smerovačov s firmvérom Arcadyan, ktorá by mohla umožniť neovereným vzdialeným útočníkom obísť autentifikáciu.

Zverejnené Tenable v auguste 3Predpokladá sa, že problém existuje najmenej 10 rokov a týka sa najmenej 20 modelov od 17 rôznych predajcov vrátane Asus, Beeline, British Telecom, Buffalo, Deutsche Telekom, Orange, Telstra, Telus, Verizon a Vodafone.

Úspešné využitie tejto zraniteľnosti by mohlo útočníkovi umožniť obísť bariéry autentifikácie a potenciálne získať prístup k citlivým informáciám vrátane platných tokenov požiadaviek, ktoré by sa dali použiť na zadávanie požiadaviek na zmenu nastavení smerovača.

Juniper Threat Labs minulý týždeň uviedli, že „identifikovali niektoré vzory útokov, ktoré sa pokúšajú vo voľnej prírode zneužiť túto zraniteľnosť pochádzajúcu z IP adresy umiestnenej vo Wuhan, provincia Hubei, Čína“ počnúc augustom. 5, pričom útočník ho využil na nasadenie variantu Mirai na postihnuté smerovače, čo odráža podobné techniky odhalené jednotkou 42 Palo Alto Networks začiatkom tohto marca.

„Podobnosť by mohla naznačovať, že za týmto novým útokom stojí rovnaký aktér hrozby a pokúša sa vylepšiť svoj infiltračný arzenál ďalšou čerstvo odhalenou zraniteľnosťou,“ uviedli vedci.

Okrem CVE-2021–20090 sa o aktérovi hrozby tiež hovorí, že vykonal útoky využívajúce množstvo ďalších zraniteľností, ako napr.

Správa jednotky 42 predtým odhalila až šesť známych a tri neznáme bezpečnostné chyby, ktoré boli zneužité pri útokoch, vrátane tých, ktoré boli zamerané na SonicWall SSL-VPN, firewally D-Link DNS-320, bezdrôtové smerovače Netis WF2419 a prepínače Netgear ProSAFE Plus. .

Aby sa predišlo akémukoľvek potenciálnemu kompromisu, používateľom sa odporúča aktualizovať firmvér smerovača na najnovšiu verziu.

“Je jasné, že aktéri hrozieb dávajú pozor na všetky odhalené zraniteľnosti. Kedykoľvek je zverejnený exploit PoC, často im trvá veľmi málo času, kým ho integrujú do svojej platformy a spustia útoky,” uviedli vedci.