Η Ιαπωνία προειδοποιεί για ελαττώματα του δρομολογητή μηδενικής ημέρας IO-Data που εκμεταλλεύονται σε επιθέσεις

Το CERT της Ιαπωνίας προειδοποιεί ότι οι χάκερ εκμεταλλεύονται τρωτά σημεία zero-day σε συσκευές δρομολογητή δεδομένων IO για να τροποποιήσουν τις ρυθμίσεις της συσκευής, να εκτελέσουν εντολές ή ακόμα και να απενεργοποιήσουν το τείχος προστασίας.

Ο πωλητής έχει αναγνωρίσει τα ελαττώματα σε ένα δελτίο ασφαλείας που δημοσιεύτηκε στον ιστότοπό του. Ωστόσο, οι διορθώσεις αναμένεται να πραγματοποιηθούν στις 18 Δεκεμβρίου 2024, επομένως οι χρήστες θα εκτίθενται σε κινδύνους μέχρι τότε, εκτός εάν ενεργοποιηθούν οι μετριασμούς.

Τα τρωτά σημεία

Ο τρία ελαττώματα που εντοπίστηκαν στις 13 Νοεμβρίου 2024, είναι η αποκάλυψη πληροφοριών, η απομακρυσμένη αυθαίρετη εκτέλεση εντολών του λειτουργικού συστήματος και η δυνατότητα απενεργοποίησης των τείχη προστασίας.

Τα θέματα συνοψίζονται ως εξής:

• CVE-2024-45841: Τα δικαιώματα σε ευαίσθητους πόρους δεν έχουν ρυθμιστεί σωστά, επιτρέποντας στους χρήστες με προνόμια χαμηλού επιπέδου να έχουν πρόσβαση σε κρίσιμα αρχεία. Για παράδειγμα, ένα τρίτο μέρος που γνωρίζει τα διαπιστευτήρια του λογαριασμού επισκέπτη μπορεί να έχει πρόσβαση σε αρχεία που περιέχουν πληροφορίες ελέγχου ταυτότητας.
• CVE-2024-47133: Επιτρέπει σε πιστοποιημένους διαχειριστές να εισάγουν και να εκτελούν αυθαίρετες εντολές λειτουργικού συστήματος στη συσκευή, εκμεταλλευόμενοι την ανεπαρκή επικύρωση εισόδου στη διαχείριση διαμόρφωσης.
• CVE-2024-52564: Μη τεκμηριωμένες λειτουργίες ή κερκόπορτες στο υλικολογισμικό επιτρέπουν στους απομακρυσμένους εισβολείς να απενεργοποιούν το τείχος προστασίας της συσκευής και να τροποποιούν τις ρυθμίσεις χωρίς έλεγχο ταυτότητας.

Τα τρία προβλήματα επηρεάζουν τον UD-LT1, έναν υβριδικό δρομολογητή LTE που έχει σχεδιαστεί για ευέλικτες λύσεις συνδεσιμότητας και την έκδοση βιομηχανικής ποιότητας, UD-LT1/EX.

Η πιο πρόσφατη διαθέσιμη έκδοση υλικολογισμικού, v2.1.9, απευθύνεται μόνο στο CVE-2024-52564 και το IO Data αναφέρει ότι διορθώσεις για τις άλλες δύο ευπάθειες θα είναι διαθέσιμες στην έκδοση 2.2.0, η οποία έχει προγραμματιστεί να κυκλοφορήσει στις 18 Δεκεμβρίου 2024.

Όπως επιβεβαίωσε ο πωλητής στο ενημερωτικό δελτίο, οι πελάτες έχουν ήδη αναφέρει ότι τα ελαττώματα έχουν ήδη εκμεταλλευτεί σε επιθέσεις.

“Πρόσφατα, λάβαμε ερωτήματα από πελάτες που χρησιμοποιούν τους υβριδικούς δρομολογητές LTE UD-LT1” και “UD-LT1/EX”, όπου η πρόσβαση στη διεπαφή διαμόρφωσης επιτρεπόταν από το διαδίκτυο χωρίς VPN”, αναφέρεται στο Συμβουλευτική για την ασφάλεια δεδομένων IO.

“Αυτοί οι πελάτες ανέφεραν πιθανή μη εξουσιοδοτημένη πρόσβαση από εξωτερικές πηγές.”

Μέχρι να καταστούν διαθέσιμες οι ενημερώσεις ασφαλείας, ο προμηθευτής προτείνει στους χρήστες να εφαρμόσουν τα ακόλουθα μέτρα μετριασμού:

• Απενεργοποιήστε τη δυνατότητα απομακρυσμένης διαχείρισης για όλες τις μεθόδους σύνδεσης στο Διαδίκτυο, συμπεριλαμβανομένων των ρυθμίσεων θύρας WAN, μόντεμ και VPN.
• Περιορίστε την πρόσβαση μόνο σε δίκτυα συνδεδεμένα με VPN για να αποτρέψετε μη εξουσιοδοτημένη εξωτερική πρόσβαση.
• Αλλάξτε τον προεπιλεγμένο κωδικό πρόσβασης “επισκέπτη” χρήστη σε έναν πιο σύνθετο κωδικό πρόσβασης με περισσότερους από 10 χαρακτήρες.
• Παρακολουθήστε και επαληθεύστε τακτικά τις ρυθμίσεις της συσκευής για να ανιχνεύσετε νωρίς μη εξουσιοδοτημένες αλλαγές και επαναφέρετε τη συσκευή στις εργοστασιακές προεπιλογές και ρυθμίστε ξανά τις παραμέτρους εάν εντοπιστεί συμβιβασμός.

Οι δρομολογητές IO DATA UD-LT1 και UD-LT1/EX LTE διατίθενται κυρίως στην αγορά και πωλούνται στην Ιαπωνία, έχουν σχεδιαστεί για να υποστηρίζουν πολλούς παρόχους όπως οι NTT Docomo και KDDI και είναι συμβατοί με τις κύριες κάρτες SIM MVNO στη χώρα.