聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
I-O Data 公司在网站发布安全通告,证实了这些漏洞的存在。然而,修复方案在2024年12月18日才能推出,因此用户只有启用缓解措施才会避免暴露到风险中。
这三个0day漏洞在2024年11月13日发现,分别是信息泄露、远程任意OS命令执行和导致防火墙禁用的漏洞。概述如下:
CVE-2024-45841:敏感资源上的许可配置不当,导致低权限用户可访问关键文件。例如,了解guest 账号凭据的第三方可访问包含认证信息的文件。
CVE-2024-47133:可导致认证的管理员用户在设备上注入并执行任意操作系统命令,利用配置管理中的输入验证不充分漏洞。
CVE-2024-52464:固件中的未记录特性或后门可导致远程攻击者在无需认证的情况下,关闭设备防火墙并修改设置。
这三个漏洞影响 UD-LT1和UD-LT1/EX设备,前者是为多功能连接解决方案设计的混合 LTE 路由器,而后者是工业级版本。该固件的最新版本v2.1.9仅解决CVE-2024-52564。I-O Data 公司提到,其它两个漏洞的修复方案将在 v2.2.0中发布,计划在2024年12月18日发布。
在厂商发布通告证实这些漏洞时,客户已报道称这些漏洞已被用于攻击中。该安全公告提到,“近期我们收到混合LTE路由器’UD-LT1’和’UD-LT1/EX’客户的问询,他们反映称在无需VPN的情况下可从互联网访问配置界面。这些客户报告了来自外部来源的越权访问权限。”
在安全更新发布前,I-O Data 公司建议用户执行如下缓解措施:
禁用所有网络连接方法的远程管理特性,包括 WAN Port、Modem 和VPN设置。
仅限连接VPN网络的访问,阻止未授权的外部访问。
将默认的 “guest” 用户密码修改为更复杂的长度超过10个字符的密码。
定期监控和验证设备设置,提前检测未授权变更,并将设备重置为出厂默认设置,检测到攻陷时进行重新配置。
I-O Data UD-LT1和UD-LT1/EX LTE 路由器主要在日本国内营销和出售,支持多个运营商如 NTT Docomo 和 KDDI,并兼容主流的MVNO SIM卡。
https://www.bleepingcomputer.com/news/security/japan-warns-of-io-data-zero-day-router-flaws-exploited-in-attacks/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh