Uma vulnerabilidade que afeta alguns roteadores industriais da fabricante chinesa de produtos de IoT e vigilância por vídeo Milesight pode ter sido explorada em ataques, de acordo com a empresa de inteligência de exploração e vulnerabilidade VulnCheck.
Segundo a empresa, vários roteadores celulares industriais da série UR da Milesight (Ursalink) são afetados pelo CVE-2023-43261, uma vulnerabilidade grave que expõe arquivos de log do sistema, como ‘httpd.log’. Os logs expostos contêm senhas para administradores e outros usuários, que podem ser aproveitadas por invasores remotos para obter acesso ao dispositivo de destino. As senhas não são armazenadas em texto simples nos arquivos de log, mas podem ser facilmente quebradas.
O pesquisador Bipin Jitiya divulgou recentemente detalhes da vulnerabilidade e tornou pública uma exploração de prova de conceito (PoC). Ele informou a Milesight sobre suas descobertas, mas a fabricante disse que estava ciente da falha e liberou patches antes dele entrar em contato.
De fato, uma análise de várias versões de firmware conduzida pelo VulnCheck mostra que o CVE-2023-43261 provavelmente foi corrigido por anos. Os mecanismos de buscas de dispositivos conectados à internet Shodan e Censys mostram aproximadamente 5.500 dispositivos Milesight expostos à web, mas apenas 6,5% — menos de 400 dispositivos — parecem estar executando versões de firmware vulneráveis.
No entanto, a VulnCheck observou o que pode ser uma exploração em pequena escala da vulnerabilidade. “Observamos 5.61.39.232 tentando entrar em seis sistemas em 2 de outubro de 2023. Os endereços IP dos sistemas afetados geolocalizam-se para França, Lituânia e Noruega. Eles não parecem estar relacionados, e todos usam credenciais diferentes não padrão”, explicou empresa em uma postagem em seu blog.
Veja isso
Dezenas de bugs RCE afetam o roteador industrial Milesight
Roteadores 3G/4G da ConnectedIO sob risco em conexões IoT
“Em quatro sistemas, o invasor foi autenticado com sucesso na primeira tentativa. Uma vez, ele tentou duas senhas diferentes. Ambas as senhas [falha e êxito] já estavam presentes no httpd.log. Finalmente, no último sistema, eles não puderam autenticar. O httpd.log teve muitas tentativas de login, mas nenhum login bem-sucedido. O invasor tentou todas as credenciais exclusivas que já estavam no httpd.log e não fez mais tentativas. Esse padrão poderia razoavelmente ser CVE-2023-43261”, acrescentou a empresa de segurança.
Nesses ataques, o hacker não fez nenhuma alteração no sistema comprometido, mas passou por todas as configurações e páginas de status, o que indica que pode ter sido alguém realizando reconhecimento.
De acordo com a Milesight, os roteadores da série UR podem ser usados em vários campos, incluindo automação industrial, quiosques de autoatendimento, iluminação de tráfego, ativos de rede inteligente, equipamentos médicos e varejo.Para ter acesso ao relatório original da VulnCheck, em inglês, clique aqui.