Perusahaan telekomunikasi Inggris termasuk BT berisiko terkena kerentanan router DrayTek | Mingguan Komputer

Beberapa penyedia layanan komunikasi (CSP) terbesar di Inggris mungkin menghadapi risiko signifikan dari serangkaian 14 kerentanan pada perangkat router Vigor Draytek yang diungkapkan pada Rabu 2 Oktober oleh ForeScout, termasuk nama-nama besar b2b seperti Daisy Communications, Gamma Telecom, dan Zen Internet , dan bahkan BT.

Patch untuk semua kerentanan disediakan oleh DrayTek sebelum pengungkapan terkoordinasi. Namun, menurut ForeScout, pada saat pengungkapan ini, lebih dari 704.000 router telah terekspos secara online dan, mengingat FBI menghapus botnet yang terdiri dari beberapa aset DrayTek yang digunakan oleh mata-mata Tiongkok beberapa minggu yang lalu, mungkin ada bahaya besar dari kompromi di hilir.

Peneliti Forescout Stanislav Dashevskyi dan Francesco La Spina mengatakan bahwa sekitar 75% perangkat yang rentan digunakan dalam lingkungan komersial. Mereka menulis: “Implikasinya terhadap kelangsungan dan reputasi bisnis sangat buruk. Serangan yang berhasil dapat menyebabkan downtime yang signifikan, hilangnya kepercayaan pelanggan, dan sanksi peraturan, yang semuanya merupakan tanggung jawab CISO.”

Tingkat keparahan dan dampak bug bervariasi. Ini termasuk satu yang memungkinkan kompromi sistem penuh, dua yang memungkinkan serangan refleksi lintas situs (XSS) dan dua yang memungkinkan serangan XSS tersimpan, enam yang memungkinkan penolakan layanan (DoS) dan eksekusi kode jarak jauh (RCE), satu yang hanya mengaktifkan DoS. , yang memungkinkan eksekusi perintah sistem operasi (OS) dan escape mesin virtual, dan terakhir, yang memungkinkan pengungkapan informasi dan serangan man-in-the-middle.

Mungkin yang paling kritis, dengan skor CVSS tertinggi 10, adalah CVE-2024-41592, yang mengarah ke DoS dan RCE, di mana fungsi di antarmuka pengguna web (UI) router yang digunakan untuk mengambil data permintaan HTTP menjadi rentan terhadap serangan. buffer overflow saat memproses parameter string kueri.

Ketika dirantai dengan CVE-2024-41585, bug eksekusi perintah OS dan kelemahan paling parah kedua di set, pelaku ancaman dapat memperoleh akses root jarak jauh pada OS host dan melakukan pengintaian jaringan dan pergerakan lateral, sehingga memungkinkan peluncuran aktivitas botnet dan bahkan mengarah pada penyebaran malware atau ransomware.

Kini, analisis tambahan yang dilakukan oleh Censys mengungkapkan bahwa perangkat DrayTek Vigor yang terpapar sebagian besar berlokasi di Inggris, diikuti oleh Vietnam, Belanda, dan Taiwan. Dari total 704.000, 421.476 mengekspos UI admin VigorConnect secara online.

“Jaringan dengan konsentrasi antarmuka admin terbesar adalah gabungan dari ISP nasional besar dan penyedia telekomunikasi regional. Yang memimpin daftar adalah HINET yang berbasis di Taiwan, hal ini masuk akal mengingat DrayTek adalah perusahaan Taiwan,” tulis tim Censys.

Khususnya di Inggris, Censys menemukan 35.866 host rentan di Gamma Telecom, 31.959 di BT, 21.275 di Daisy Communications, dan 13.147 di Zen Internet.

Di wilayah lain di Eropa, risiko signifikan mungkin terjadi di KPN di Belanda, dengan 9.921 host rentan, dan Deutsche Telekom di Jerman, dengan 7.732 host rentan.

Operator router Vigor yang rentan disarankan untuk segera menambal firmware mereka, tetapi juga berhati-hati dalam membatasi UI web administratif dari akses jarak jauh publik, dan menerapkan otentikasi multifaktor (MFA) untuk melindungi mereka dengan lebih baik.

Seorang juru bicara BT mengatakan: “Kami menyadari kerentanan ini. Kami bekerja sama dengan vendor eksternal untuk menerapkan remediasi.”

Computer Weekly menghubungi organisasi lain yang terkena dampak yang disebutkan oleh Censys tetapi tidak ada yang menanggapi pada saat publikasi ini diterbitkan.