聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
I-O Data 公司在网站发布安全通告,证实了这些漏洞的存在。然而,修复方案在2024年12月18日才能推出,因此用户只有启用缓解措施才会避免暴露到风险中。
这三个0day漏洞在2024年11月13日发现,分别是信息泄露、远程任意OS命令执行和导致防火墙禁用的漏洞。概述如下:
-
CVE-2024-45841:敏感资源上的许可配置不当,导致低权限用户可访问关键文件。例如,了解guest 账号凭据的第三方可访问包含认证信息的文件。
-
CVE-2024-47133:可导致认证的管理员用户在设备上注入并执行任意操作系统命令,利用配置管理中的输入验证不充分漏洞。
-
CVE-2024-52464:固件中的未记录特性或后门可导致远程攻击者在无需认证的情况下,关闭设备防火墙并修改设置。
这三个漏洞影响 UD-LT1和UD-LT1/EX设备,前者是为多功能连接解决方案设计的混合 LTE 路由器,而后者是工业级版本。该固件的最新版本v2.1.9仅解决CVE-2024-52564。I-O Data 公司提到,其它两个漏洞的修复方案将在 v2.2.0中发布,计划在2024年12月18日发布。
在厂商发布通告证实这些漏洞时,客户已报道称这些漏洞已被用于攻击中。该安全公告提到,“近期我们收到混合LTE路由器’UD-LT1’和’UD-LT1/EX’客户的问询,他们反映称在无需VPN的情况下可从互联网访问配置界面。这些客户报告了来自外部来源的越权访问权限。”
在安全更新发布前,I-O Data 公司建议用户执行如下缓解措施:
-
禁用所有网络连接方法的远程管理特性,包括 WAN Port、Modem 和VPN设置。
-
仅限连接VPN网络的访问,阻止未授权的外部访问。
-
将默认的 “guest” 用户密码修改为更复杂的长度超过10个字符的密码。
-
定期监控和验证设备设置,提前检测未授权变更,并将设备重置为出厂默认设置,检测到攻陷时进行重新配置。
I-O Data UD-LT1和UD-LT1/EX LTE 路由器主要在日本国内营销和出售,支持多个运营商如 NTT Docomo 和 KDDI,并兼容主流的MVNO SIM卡。
原文始发于微信公众号(代码卫士):日本CERT提醒:IO-Data 路由器中的多个0day已遭利用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论