Ataques dirigidos vía zero days contra redes empresariales que usan DrayTek

Investigadores en ciberseguridad junto con el laboratorio técnico de Qihoo 360 han publicado los detalles de dos campañas de ataque basadas en zero days dirigidas contra dispositivos de red fabricados por la empresa con sede en Taiwán, DrayTek.

Según el informe, al menos dos grupos separados de piratas informáticos explotaron dos vulnerabilidades críticas de inyección remota de código (CVE-2020-8515) que afectan a los conmutadores empresariales DrayTek Vigor, balanceadores de carga, enrutadores y dispositivos de puerta de enlace VPN. De este modo, consiguieron espiar el tráfico de red e instalar puertas traseras en los dispositivos para consolidar la persistencia en las redes.

Los ataques zero day comenzaron en algún lugar a fines del noviembre pasado o principios de diciembre y todavía están en curso contra miles de conmutadores DrayTek expuestos al público, dispositivos Vigor 2960, 3900, 300B que aún no han sido parcheados con el último firmware ni con las actualizaciones lanzadas en Febrero.

Las vulnerabilidades zero day en cuestión pueden ser explotadas por cualquier atacante remoto no autorizado para inyectar y ejecutar comandos arbitrarios en el sistema. La explotación está detallada de manera pormenorizada por un investigador independiente en su blog.

Como se puede apreciar en el recurso mencionado, la explotación se consigue inyectando comandos en los parámetros enviados al servidor durante la petición de login, tras un proceso de bypass del saneamiento de entrada de datos. Concretamente, los parámetros rtick y keyPath parecen ser los explotables.

Los investigadores de NetLab aún no han atribuido ambos ataques a ningún grupo específico, pero sí confirmaron que, si bien el primer grupo simplemente espió el tráfico de la red, el segundo grupo de atacantes utilizó la vulnerabilidad para crear:

  • Una puerta trasera como sesión web que no expira.
  • Puertas traseras SSH en los puertos TCP 22335 y 32459.
  • Cuentas de sistema con usuario «wuwuhanhan» y contraseña «caonimuqin».

Se recomienda a los usuarios de dispositivos de red DrayTek comprobar la existencia de estas backdoors, así como deshabilitar el acceso remoto a sus routers e implementar listas de control de accesos. Por supuesto, la actualización de los dispositivos a las últimas versiones, es preceptiva.

Más información:

https://www.skullarmy.net/2020/01/draytek-unauthenticated-rce-in-draytek.html

https://blog.netlab.360.com/two-zero-days-are-targeting-draytek-broadband-cpe-devices-en/

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.