Tajvanski proizvođač mrežne opreme DrayTek podijelio je neka pojašnjenja u vezi sa nedavnim napadima koji izazivaju restart rutera, ali neka pitanja i dalje ostaju bez odgovora.
Krajem marta, korisnici DrayTek rutera u Ujedinjenom Kraljevstvu, Australiji i drugim zemljama počeli su prijavljivati da se njihovi uređaji neprestano restartuju, što je izazivalo probleme sa povezivanjem. Kada su se pojavili prvi izvještaji, proizvođač je sugerisao da bi moglo biti riječi o iskorišćavanju ranjivosti, ali nije podijelio informacije o tome koja bi konkretna ranjivost mogla biti odgovorna.
Kao odgovor na sve veći broj prijava, DrayTek je objavio drugo saopštenje u kojem je pojasnio da se incidenti uglavnom odnose na starije modele rutera sa zastarjelim firmverom.
“Naša istraga je utvrdila da su DrayTek ruteri bili meta ponovljenih, sumnjivih i potencijalno zlonamjernih TCP konekcija koje su dolazile sa IP adresa sa poznatom lošom reputacijom”, objasnio je DrayTek. “Ovi pokušaji su mogli izazvati restart rutera na neispravljenim uređajima ako su na njima bila omogućena SSL VPN ili daljinsko upravljanje bez zaštite kroz listu kontrole pristupa (ACL).”
Kompanija je navela nekoliko modela Vigor rutera koji su pogođeni, ali je istakla da su firmverska ažuriranja, objavljena 2020. godine, trebala otkloniti ovaj “problem”, iako je sada prvi put zabilježeno njegovo aktivno iskorišćavanje.
Međutim, i dalje nije jasno koja tačno ranjivost ili više njih su iskorišćene. Takođe, nije poznato šta je tačan cilj napadača i da li su restarti rutera planirani efekat ili neželjena posljedica neuspjelih pokušaja eksploatacije.
Na društvenoj mreži X, DrayTek je 26. marta naveo da se problem čini povezanim sa ranjivošću koja je otkrivena početkom marta, ali nije precizirao o kojoj je ranjivosti riječ.
Proizvođač je početkom marta objavio dva bezbjednosna saopštenja: jedno opisuje šest ranjivosti u Vigor ruterima koje omogućavaju DoS napade, curenje informacija i izvršavanje koda, dok drugo opisuje dvije ranjivosti koje takođe omogućavaju izvršavanje koda. U oba saopštenja, kompanija je navela da su firmverske zakrpe za ove propuste dostupne još od jeseni 2024. godine.
Firma iz oblasti sajber bezbjednosti GreyNoise objavila je blog u kojem opisuje pokušaje eksploatacije DrayTek rutera u posljednjim danima. Iskorišćene su tri ranjivosti: CVE-2020-8515, CVE-2021-20123 i CVE-2021-20124, ali kompanija nije mogla potvrditi da li su one direktno povezane sa najnovijim napadima.
Izvor: SecurityWeek
