يحذر فريق CERT الياباني من أن المتسللين يستغلون ثغرات يوم الصفر في أجهزة توجيه بيانات IO لتعديل إعدادات الجهاز أو تنفيذ الأوامر أو حتى إيقاف تشغيل جدار الحماية.
وقد اعترف البائع بالعيوب في النشرة الأمنية المنشورة على موقعه على الإنترنت. ومع ذلك، من المتوقع أن يتم تنفيذ الإصلاحات في 18 ديسمبر 2024، لذلك سيتعرض المستخدمون للمخاطر حتى ذلك الحين ما لم يتم تمكين إجراءات التخفيف.
نقاط الضعف
ال”https://jvn.jp/en/jp/JVN46615026/index.html” الهدف=”_blank” rel=”nofollow noopener”> ثلاثة عيوب التي تم تحديدها في 13 نوفمبر 2024، هي الكشف عن المعلومات، والتنفيذ التعسفي لأوامر نظام التشغيل عن بعد، والقدرة على تعطيل جدران الحماية.
وتتلخص القضايا على النحو التالي:
- CVE-2024-45841: تم تكوين الأذونات الخاصة بالموارد الحساسة بشكل خاطئ، مما يسمح للمستخدمين ذوي الامتيازات ذات المستوى المنخفض بالوصول إلى الملفات الهامة. على سبيل المثال، يمكن لجهة خارجية تعرف بيانات اعتماد حساب الضيف الوصول إلى الملفات التي تحتوي على معلومات المصادقة.
- CVE-2024-47133: يسمح للمستخدمين الإداريين المعتمدين بإدخال وتنفيذ أوامر نظام التشغيل التعسفية على الجهاز، واستغلال التحقق غير الكافي من صحة الإدخال في إدارة التكوين.
- CVE-2024-52564: تسمح الميزات غير الموثقة أو الأبواب الخلفية في البرامج الثابتة للمهاجمين عن بعد بإيقاف تشغيل جدار حماية الجهاز وتعديل الإعدادات دون مصادقة.
تؤثر المشكلات الثلاث على UD-LT1، وهو جهاز توجيه LTE هجين مصمم لحلول الاتصال متعددة الاستخدامات، وإصداره الصناعي UD-LT1/EX.
أحدث إصدار متوفر من البرامج الثابتة، v2.1.9، يتناول CVE-2024-52564 فقط، وتنص بيانات IO على أن إصلاحات الثغرات الأمنية الأخريين ستكون متاحة في الإصدار 2.2.0، المقرر إصداره في 18 ديسمبر 2024.
وكما أكد البائع في النشرة، فقد أبلغ العملاء بالفعل عن استغلال العيوب بالفعل في الهجمات.
“Recently, we received inquiries from customers using our hybrid LTE routers’ UD-LT1′ and ‘UD-LT1/EX’, where access to the configuration interface was allowed from the internet without VPN,” يقرأ”http://www.iodata.jp/support/information/2024/11_ud-lt1/index.htm” الهدف=”_blank” rel=”nofollow noopener”>استشارات أمن بيانات الإدخال والإخراج.
“These customers reported potential unauthorized access from external sources.”
وإلى أن يتم توفير التحديثات الأمنية، يقترح البائع أن يقوم المستخدمون بتنفيذ إجراءات التخفيف التالية:
- قم بتعطيل ميزة الإدارة عن بعد لجميع طرق الاتصال بالإنترنت، بما في ذلك إعدادات منفذ WAN والمودم وVPN.
- تقييد الوصول إلى الشبكات المتصلة بشبكة VPN فقط لمنع الوصول الخارجي غير المصرح به.
- تغيير الافتراضي “guest” كلمة مرور المستخدم إلى كلمة مرور أكثر تعقيدًا تتكون من أكثر من 10 أحرف.
- قم بمراقبة إعدادات الجهاز والتحقق منها بانتظام لاكتشاف التغييرات غير المصرح بها مبكرًا، وإعادة ضبط الجهاز على إعدادات المصنع الافتراضية وإعادة تكوينه في حالة اكتشاف اختراق.
يتم تسويق وبيع أجهزة التوجيه IO DATA UD-LT1 وUD-LT1/EX LTE بشكل أساسي داخل اليابان، وهي مصممة لدعم شركات اتصالات متعددة مثل NTT Docomo وKDDI، كما أنها متوافقة مع بطاقات MVNO SIM الرئيسية في البلاد.