Le CERT japonais avertit que les pirates exploitent les vulnérabilités zero-day des routeurs de données d’E / S pour modifier les paramètres de l’appareil, exécuter des commandes ou même désactiver le pare-feu.
Le vendeur a reconnu les failles dans un bulletin de sécurité publié sur son site Internet. Cependant, les correctifs devraient atterrir le 18 décembre 2024, de sorte que les utilisateurs seront exposés à des risques jusque-là, à moins que des mesures d’atténuation ne soient activées.
Les vulnérabilités
Les trois failles identifiées le 13 novembre 2024 sont la divulgation d’informations, l’exécution arbitraire de commandes OS à distance et la possibilité de désactiver les pare-feu.
Les problèmes sont résumés comme suit:
- CVE-2024-45841: Les autorisations sur les ressources sensibles sont mal configurées, ce qui permet aux utilisateurs disposant de privilèges de bas niveau d’accéder aux fichiers critiques. Par exemple, un tiers qui connaît les informations d’identification du compte invité peut accéder à des fichiers contenant des informations d’authentification.
- CVE-2024-47133: Permet aux utilisateurs administratifs authentifiés d’injecter et d’exécuter des commandes arbitraires du système d’exploitation sur l’appareil, en exploitant une validation d’entrée insuffisante dans la gestion de la configuration.
- CVE-2024-52564: Des fonctionnalités non documentées ou des portes dérobées dans le micrologiciel permettent aux attaquants distants de désactiver le pare-feu de l’appareil et de modifier les paramètres sans authentification.
Les trois problèmes concernent UDLT 1, un routeur LTE hybride conçu pour des solutions de connectivité polyvalentes, et sa version de qualité industrielle, UD-LT1 / EX.
La dernière version du micrologiciel disponible, v2.1.9, ne concerne que CVE-2024-52564, et les données d’E-S indiquent que des correctifs pour les deux autres vulnérabilités seront disponibles dans la version 2.2.0, dont la publication est prévue pour le 18 décembre 2024.
Comme l’a confirmé le fournisseur dans le bulletin, les clients ont déjà signalé que les failles étaient déjà exploitées dans des attaques.
« Récemment, nous avons reçu des demandes de clients utilisant nos routeurs LTE hybrides’ UD-LT1 ‘ et ‘UD-LT1 / EX’, où l’accès à l’interface de configuration était autorisé depuis Internet sans VPN », lit-on dans l’avis de sécurité des données d’E-S.
« Ces clients ont signalé un accès non autorisé potentiel provenant de sources externes. »
En attendant que les mises à jour de sécurité soient disponibles, le fournisseur suggère aux utilisateurs de mettre en œuvre les mesures d’atténuation suivantes:
- Désactivez la fonctionnalité de gestion à distance pour toutes les méthodes de connexion Internet, y compris les paramètres de port WAN, de modem et de VPN.
- Limitez l’accès aux seuls réseaux connectés au VPN pour empêcher tout accès externe non autorisé.
- Remplacez le mot de passe par défaut de l’utilisateur « invité » par un mot de passe plus complexe de plus de 10 caractères.
- Surveillez et vérifiez régulièrement les paramètres de l’appareil pour détecter rapidement les modifications non autorisées, réinitialisez l’appareil aux paramètres d’usine par défaut et reconfigurez-le si une compromission est détectée.
Les routeurs LTE I – O DATA UD-LT1 et UD-LT1 / EX sont principalement commercialisés et vendus au Japon, conçus pour prendre en charge plusieurs opérateurs tels que NTT Docomo et KDDI, et sont compatibles avec les principales cartes SIM MVNO du pays.