شركات الاتصالات في المملكة المتحدة بما في ذلك BT معرضة لخطر نقاط الضعف في جهاز توجيه DrayTek

7 3 دقائق

ربما كان بعض أكبر مزودي خدمات الاتصالات (CSPs) في المملكة المتحدة معرضين لخطر كبير من سلسلة من 14 نقطة ضعف في أجهزة التوجيه Vigor الخاصة بشركة Draytek والتي تم الكشف عنها يوم الأربعاء 2 أكتوبر بواسطة فورسكاوت، بما في ذلك أسماء الشركات الكبيرة مثل Daisy Communications وGamma Telecom وZen Internet وحتى BT.

تم توفير تصحيحات لجميع نقاط الضعف بواسطة DrayTek قبل الكشف المنسق. ومع ذلك، وفقًا لـ ForeScout، في وقت الكشف، تم الكشف عن أكثر من 704000 جهاز توجيه عبر الإنترنت، ونظرًا لأن مكتب التحقيقات الفيدرالي قام بإسقاط شبكة الروبوتات تضم بعض أصول DrayTek وبعد أن استخدمها الجواسيس الصينيون قبل بضعة أسابيع فقط، فقد يكون هناك خطر كبير من التوصل إلى تسويات في نهاية المطاف.

وقال الباحثون في شركة Forescout، ستانيسلاف داشيفسكي وفرانشيسكو لا سبينا، إن ما يقرب من 75% من الأجهزة المعرضة للخطر يتم استخدامها في البيئات التجارية. وكتبوا: “إن الآثار المترتبة على استمرارية الأعمال والسمعة شديدة. يمكن أن يؤدي الهجوم الناجح إلى توقف كبير عن العمل، وفقدان ثقة العملاء وعقوبات تنظيمية، وكلها تقع بشكل مباشر على عاتق رئيس أمن المعلومات.

وتتراوح الأخطاء في خطورتها وتأثيرها. وهي تتضمن واحدة تتيح اختراق النظام بالكامل، واثنتان تتيحان هجمات البرمجة النصية عبر المواقع المنعكسة (XSS) واثنتان تتيحان هجمات XSS المخزنة، وستة تتيحان رفض الخدمة (DoS) وتنفيذ التعليمات البرمجية عن بُعد (RCE)، وواحدة تمكن DoS فقط ، الذي يتيح تنفيذ أوامر نظام التشغيل (OS) والهروب من الجهاز الظاهري، وأخيرًا، الذي يسمح بالكشف عن المعلومات وهجمات الوسيط.

من المحتمل أن يكون الأكثر أهمية، مع أعلى درجة ممكنة لـ CVSS تبلغ 10، هو CVE-2024-41592، مما يؤدي إلى DoS وRCE، حيث تصبح إحدى الوظائف في واجهة مستخدم الويب (UI) الخاصة بالموجه المستخدمة لاسترداد بيانات طلب HTTP عرضة للاختراق. تجاوز سعة المخزن المؤقت عند معالجة معلمات سلسلة الاستعلام.

عند ربطه بالتسلسل مع CVE-2024-41585، وهو خطأ تنفيذ أمر نظام التشغيل وثاني أخطر خلل في المجموعة، يصبح من الممكن لممثل التهديد الحصول على وصول جذري عن بعد على نظام التشغيل المضيف وإجراء إعادة اتصال للشبكة وحركة جانبية، مما يتيح إطلاق نشاط الروبوتات وحتى يؤدي إلى نشر البرامج الضارة أو برامج الفدية.

الآن، تحليل إضافي أجراه Censys كشفت شركة DrayTek Vigor أن أجهزة DrayTek Vigor المكشوفة تقع في الغالب في المملكة المتحدة، تليها فيتنام وهولندا وتايوان. من إجمالي 704,000، يقوم 421,476 بالكشف عن واجهة المستخدم الإدارية لـ VigorConnect عبر الإنترنت.

“الشبكات التي تحتوي على أكبر تجمعات من واجهات الإدارة هذه هي مزيج من كبار مزودي خدمات الإنترنت الوطنيين ومقدمي خدمات الاتصالات الإقليميين. تتصدر القائمة شركة HINET ومقرها تايوان، وهو أمر منطقي نظرًا لأن DrayTek هي شركة تايوانية.

في المملكة المتحدة على وجه التحديد، وجدت Censys 35,866 مضيفًا معرضًا للخطر في Gamma Telecom، و31,959 في BT، و21,275 في Daisy Communications، و13,147 في Zen Internet.

وفي أماكن أخرى من أوروبا، قد توجد مخاطر كبيرة في شركة KPN في هولندا، مع 9,921 مضيفًا معرضًا للخطر، وشركة Deutsche Telekom في ألمانيا، مع 7,732.

يُنصح مشغلو أجهزة توجيه Vigor الضعيفة بتصحيح البرامج الثابتة الخاصة بهم على الفور، ولكن يجب أيضًا الحرص على تقييد واجهات مستخدم الويب الإدارية من الوصول العام عن بُعد، وفرض المصادقة متعددة العوامل (MFA) لحمايتهم بشكل أفضل.

وقال متحدث باسم BT: “نحن على علم بهذه الثغرة الأمنية. نحن نعمل مع البائعين الخارجيين لوضع العلاجات موضع التنفيذ.”

اتصلت شركة Computer Weekly بالمنظمات الأخرى المتضررة التي ذكرتها Censys ولكن لم يستجب أي منها حتى وقت النشر.