По данным компании VulnCheck, занимающейся анализом эксплоитов и уязвимостей, проблема CVE-2023-43261, затрагивающая промышленные маршрутизаторы Milesight, может использоваться хакерами для атак.
Уязвимость CVE-2023-43261, угрожающую некоторым моделям промышленных сотовых маршрутизаторов серии UR от Milesight (Ursalink) обнаружил исследователь Бипин Джития (Bipin Jitiya). В своем блоге эксперт раскрыл подробности этого бага, из-за которого файлы системных логов, такие как httpd.log, становятся доступны посторонним. К своему отчету об уязвимости Джития приложил и PoC-эксплоит.
Так как логи содержат пароли администраторов и других пользователей, злоумышленники могут использовать их для получения несанкционированного доступа к целевому устройству. Хотя пароли не хранятся в логах открытым текстом, их можно легко взломать.
Когда исследователь уведомил об уязвимости специалистов Milesight, ему сообщили, что производителю известно об этой проблеме, и исправления для нее уже вышли. Анализ различных версий прошивки, проведенный VulnCheck, показал, что патчи для CVE-2023-43261 действительно появились еще несколько лет назад.
Поисковые системы Shodan и Censys обнаруживают около 5500 подключенных к интернету устройств Milesight, но только из них 6,5% (менее 400 устройств) используют уязвимые версии прошивок. Тем не менее, аналитики VulnCheck заметили признаки ограниченной эксплуатации этой уязвимости.
«2 октября 2023 года мы наблюдали, как 5.61.39.232 пытался войти в шесть систем. IP-адреса затронутых систем расопложены во Франции, Литве и Норвегии. Судя по всему, они не связаны между собой и используют различные учетные данные не по умолчанию, — пишут эксперты VulnCheck. — В четырех системах злоумышленник успешно прошел аутентификацию с первой попытки. В одном случае злоумышленник попытался ввести два разных пароля. Оба пароля (неверный и сработавший) уже присутствовали в журнале httpd.log. Наконец, в последней системе злоумышленник не смог пройти аутентификацию. В журнале httpd.log было зафиксировано много попыток входа, но ни одной успешной. Злоумышленник попытался ввести все уникальные учетные данные, которые уже были в httpd.log и больше не предпринимал попыток. Такая схема вполне может соответствовать эксплуатации CVE-2023-43261».
В ходе этих атак хакер не вносил никаких изменений во взломанную систему, но просматривал все настройки и страницы состояния, то есть мог проводить разведку.
По данным производителя, маршрутизаторы серии UR могут использоваться в различных областях, включая промышленную автоматизацию, киоски самообслуживания, системы дорожного освещения, медицинское оборудование, розничную торговлю и так далее.