I-O Data: три Zero Day превращают роутеры в капкан

Японский CERT предупредил о том, что хакеры активно используют уязвимости нулевого дня в маршрутизаторах I-O Data для изменения настроек устройств, выполнения команд и отключения межсетевых экранов.

Три уязвимости, выявленные 13 ноября, включают:

• CVE-2024-45841 (оценка CVSS: 6.5): Неправильная настройка разрешений на доступ к чувствительным ресурсам позволяет пользователям с низким уровнем привилегий получить доступ к критическим файлам. Например, третьи лица, знающие учетные данные гостевого аккаунта, могут получить доступ к данным аутентификации.
• CVE-2024-47133 (оценка CVSS: 7.2): Аутентифицированные администраторы могут внедрять и выполнять произвольные команды операционной системы, используя недостаточную проверку ввода при управлении конфигурацией.
• CVE-2024-52564 (оценка CVSS: 7.5): не задокументированные функции или бекдоры в прошивке дают возможность удаленным злоумышленникам отключать брандмауэр и изменять настройки без аутентификации.

Ошибки затрагивают модель UD-LT1 (гибридный LTE-маршрутизатор) и её промышленную версию UD-LT1/EX. Последняя доступная версия прошивки v2.1.9 устраняет только CVE-2024-52564. Исправления для оставшихся проблем планируется включить в версию v2.2.0, выпуск которой намечен на 18 декабря.

Производитель подтвердил наличие проблем в опубликованном бюллетене безопасности. Некоторые клиенты уже столкнулись с атаками, связанными с данными уязвимостями. В сообщении производителя указывается, что запросы поступали от пользователей, у которых был разрешен доступ к интерфейсу конфигурации устройств из интернета без использования VPN. В ряде случаев были зафиксированы потенциально несанкционированные подключения из внешних источников.

До выпуска обновлений пользователям предлагается выполнить следующие меры для минимизации рисков:

1. Отключить функцию удаленного управления для всех методов подключения, включая WAN-порт, модем и VPN-настройки.
2. Ограничить доступ только для сетей, подключенных через VPN, чтобы предотвратить несанкционированное внешнее подключение.
3. Изменить пароль для гостевой учетной записи на более сложный, состоящий из минимум 10 символов.
4. Регулярно проверять настройки устройства для выявления несанкционированных изменений, при обнаружении подозрительных действий сбросить настройки до заводских и перенастроить устройство.

Маршрутизаторы UD-LT1 и UD-LT1/EX ориентированы на японский рынок и поддерживают работу с основными операторами NTT Docomo и KDDI, а также с SIM-картами ведущих виртуальных операторов мобильной связи (MVNO) в стране.