O fornecedor canadense de equipamentos de rede MoFi Network corrigiu apenas seis das dez vulnerabilidades que os pesquisadores de segurança relataram à empresa no início deste ano, em maio.
Não corrigidos permaneceram uma vulnerabilidade de injeção de comando e três mecanismos backdoor não documentados embutidos em código, todos impactando a linha de roteadores MOFI4500-4GXeLTE da empresa.
Esses dispositivos são roteadores comerciais muito poderosos que a MoFi descreve como “roteador de metal robusto de missão crítica de alto desempenho feito para empresas ou clientes”.
Os roteadores MOFI4500-4GXeLTE fornecem conexões de alta largura de banda para usuários comerciais por meio de uplinks LTE (4G) e são normalmente implantados por provedores de serviços de Internet ou outras empresas que precisam garantir o acesso à Internet para pontos comerciais remotos onde conexões normais de Internet com fio não estão disponíveis.
Em um relatório compartilhado com a ZDNet hoje, a empresa de segurança cibernética CRITICAL START afirma ter descoberto dez vulnerabilidades no firmware dos roteadores MOFI4500-4GXeLTE no início deste ano.
As dez vulnerabilidades incluíram uma ampla gama de problemas, um mais sério do que o outro, todos detalhados na tabela abaixo.
O CRITICAL START informou que notificou a equipe de segurança do MoFi sobre as vulnerabilidades, mas quando a empresa lançou uma atualização de firmware no início deste ano, incluiu apenas patches para seis dos dez bugs.
As quatro linhas em amarelo acima representam as quatro vulnerabilidades que o MoFi (ainda?) Não corrigiu.
Solicitado a comentar sobre este relatório e por que não corrigiu os últimos quatro bugs, o MoFi não retornou uma solicitação de contato enviada ontem pelo site da empresa.
Já que a lista de bugs contém alguns backdoors, seria de se esperar que esses bugs fossem bastante atraentes para operadores de botnet – e de fato são.
Explorar as dez vulnerabilidades requer apenas que um invasor tenha uma linha direta com a interface de gerenciamento web do dispositivo, que CRITICAL START diz ser acessível por padrão em todas as interfaces de rede – via LAN (interna) e WAN (externa).
No entanto, CRITICAL START afirma que, como muitos roteadores MOFI4500-4GXeLTE são empregados por ISPs, alguns desses dispositivos possuem algum tipo de proteção mínima, bloqueando invasores de hacks fáceis.
“Muitos provedores de serviços de Internet (ISP) usam Carrier Grade NAT, que impede o acesso direto à interface de gerenciamento da Internet”, disse o CRITICAL START .
“Isso não limita um invasor com acesso à interface LAN ou à rede interna do ISP. Em alguns casos, a vulnerabilidade pode ser acionada indiretamente por um usuário clicar em um link ou visitar um site malicioso.”
Por exemplo, um cenário de como esses bugs podem ser explorados é por meio de código malicioso embutido em anúncios. Quando um funcionário do ISP ou um cliente na rede do ISP acessa um site com um desses anúncios, o código malicioso é executado dentro do navegador (localizado na LAN do ISP) e hackeia o roteador MOFI4500-4GXeLTE em nome dos invasores.
Isso significa que impedir o acesso à interface WAN de gerenciamento do roteador pode não ser uma solução completa a longo prazo e, eventualmente, uma atualização de firmware precisa ser aplicada para corrigir o restante dos bugs e evitar ataques futuros.
Por causa do perigo que esses bugs representam, a CRITICAL START disse que também notificou o US-CERT sobre suas descobertas, e a organização parece ter trabalhado nos bastidores para proteger esses dispositivos.
A CRITICAL START chegou a essa conclusão depois de observar que o número de dispositivos MoFi acessíveis pela Internet caiu em mais de 40% no verão, de 14.000 dispositivos em 25 de junho para cerca de 8.200 dispositivos em 25 de agosto.
“Suspeitamos que este seja o resultado do US-CERT trabalhando com ISPs para restringir o acesso à rede”, disse a equipe de pesquisa do CRITICAL START .
Fonte: https://www.zdnet.com/article/backdoors-left-unpatched-in-mofi-routers/
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…