CISA aconselha usuários da D-Link a colocar roteadores vulneráveis offline
Em 4 de abril de 2022, a Cybersecurity & Infrastructure Security Agency (CISA) adicionou o CVE-2021-45382 ao seu catálogo de vulnerabilidades exploradas conhecidas.
Como os produtos afetados atingiram o fim da vida útil (EOL), o conselho é desconectá-los, se ainda estiverem em uso.
Catálogo CISA
O catálogo CISA de vulnerabilidades exploradas conhecidas foi criado para listar as vulnerabilidades mais importantes que provaram representar os maiores riscos. O catálogo é parte integrante da diretriz operacional obrigatória (BOD) 22-01 intitulada Reduzir o risco significativo de vulnerabilidades exploradas conhecidas.
Esta diretiva se aplica a todos os softwares e hardwares encontrados em sistemas de informação federais gerenciados nas instalações da agência ou hospedados por terceiros em nome de uma agência. Uma das ações exigidas mais bem-vindas estabelecidas na diretriz é que a CISA manterá um catálogo de vulnerabilidades juntamente com os prazos em que elas devem ser corrigidas.
EOL
Fim de vida (EOL) é uma expressão comumente usada por fornecedores de software para indicar que um produto ou versão de um produto atingiu o fim de sua utilidade aos olhos do fornecedor. Quando os produtos atingem o Fim do Suporte (EOS) ou EOL, geralmente é anunciado com bastante antecedência.
Como política geral, quando os produtos atingem o EOS/EOL, eles não podem mais ser suportados e todo o desenvolvimento de firmware para esses produtos cessa. Infelizmente, isso geralmente significa que a segurança desses produtos diminui rapidamente. As vulnerabilidades encontradas só são corrigidas em casos muito raros.
A vulnerabilidade
CVE-2021-45382 é uma vulnerabilidade Remote Code Execution (RCE) que existe em todas as revisões H/W da série D-Link DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L e DIR-836L roteadores via a função DDNS no arquivo binário ncc2.
DDNS (Dynamic Domain Name System) é uma função que permite que os sistemas superem os problemas relacionados aos Endereços IP Dinâmicos, ao tentar se conectar a um recurso em algum lugar da Internet cujo endereço IP pode mudar a qualquer momento.
O serviço ncc2 nos dispositivos afetados permite atualizações básicas de firmware e arquivo de idioma por meio da interface da web. O serviço ncc2 nos dispositivos afetados parece ter sido enviado com vários ganchos de diagnóstico disponíveis. Infelizmente, esses ganchos podem ser chamados sem autenticação. Os recursos necessários não existem no sistema de arquivos do dispositivo, nem parecem estar estáticos. Em vez disso, esses arquivos parecem ser renderizados quando consultados e podem ser usados para interrogar o dispositivo em busca de informações, bem como habilitar serviços de diagnóstico sob demanda.
Uma Prova de Conceito (PoC) está disponível publicamente no GitHub, o que torna trivial para qualquer pessoa com intenções maliciosas assumir o controle dos roteadores vulneráveis.
Dispositivos afetados
A D-Link lista os modelos afetados que atingiram o EOL como DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L e DIR-836L todas as séries e todas as revisões de hardware. Todos esses modelos receberam uma última atualização em 19 de dezembro de 2021.
O conselho da D-Link para esses modelos é que eles sejam retirados e substituídos. Para que as organizações estejam em conformidade com a diretiva operacional vinculativa 22-01, isso precisará ser feito antes de 25 de abril de 2022.
Embora o BOD 22-01 se aplique apenas a agências da FCEB, a CISA recomenda fortemente que todas as organizações reduzam sua exposição a ataques cibernéticos priorizando a correção oportuna das vulnerabilidades do Catálogo como parte de sua prática de gerenciamento de vulnerabilidades.
Mitigação
Nesses casos, e nas circunstâncias dadas, parece realmente melhor substituir os modelos afetados por um dispositivo mais seguro. Recentemente, a CISA deu um conselho semelhante para o D-Link DIR-610 e DIR-645, bem como para o Netgear DGN2200.
Fiquem seguros, todos!
