日本計(jì)算機(jī)緊急響應(yīng)小組（CERT）警告稱 ，黑客正在利用I-O Data路由器設(shè)備中的零日漏洞來(lái)修改設(shè)備設(shè)置、執(zhí)行命令，甚至關(guān)閉防火墻。

I-O Data在其網(wǎng)站上發(fā)布的安全公告中承認(rèn)確實(shí)存在三個(gè)零日漏洞，但目前暫無(wú)完整的修復(fù)補(bǔ)丁，預(yù)計(jì)將在2024年12月18日發(fā)布，因此在此之前用戶將面臨比較嚴(yán)重的風(fēng)險(xiǎn)。

上述三個(gè)零日漏洞在2024年11月13日被發(fā)現(xiàn)，包括信息泄露、遠(yuǎn)程任意操作系統(tǒng)命令執(zhí)行和導(dǎo)致防火墻禁用的漏洞。

具體如下：

• CVE-2024-45841：敏感資源上的不當(dāng)權(quán)限配置，導(dǎo)致低權(quán)限用戶可以訪問(wèn)關(guān)鍵文件。
• CVE-2024-47133：認(rèn)證的管理員用戶可以在設(shè)備上注入并執(zhí)行任意操作系統(tǒng)命令，利用配置管理中的輸入驗(yàn)證不充分漏洞。
• CVE-2024-52464：固件中的未記錄特性或后門(mén)可導(dǎo)致遠(yuǎn)程攻擊者在無(wú)需認(rèn)證的情況下，關(guān)閉設(shè)備防火墻并修改設(shè)置。

受影響的設(shè)備：這些漏洞影響UD-LT1和UD-LT1/EX設(shè)備，前者是為多功能連接解決方案設(shè)計(jì)的混合LTE路由器，而后者是工業(yè)級(jí)版本。

最新可用的固件版本v2.1.9僅解決了CVE-2024-52564漏洞，I-O Data表示其他兩個(gè)漏洞的修復(fù)將在計(jì)劃于2024年12月18日發(fā)布的v2.2.0版本中提供。比較糟糕的消息是，已經(jīng)有客戶因?yàn)檫@些漏洞而遭到黑客攻擊。

I-O Data安全公告指出，“已收到使用混合LTE路由器UD-LT1和UD-LT1/EX的客戶的咨詢，這些客戶報(bào)告了來(lái)自外部來(lái)源的潛在未經(jīng)授權(quán)訪問(wèn)。”

在安全更新發(fā)布之前，I-O Data 建議用戶實(shí)施以下緩解措施：

• 禁用所有互聯(lián)網(wǎng)連接方式的遠(yuǎn)程管理功能，包括WAN端口、調(diào)制解調(diào)器和VPN設(shè)置。
• 僅限VPN連接的網(wǎng)絡(luò)訪問(wèn)，以防止未經(jīng)授權(quán)的外部訪問(wèn)。
• 將默認(rèn)的“訪客”用戶的密碼更改為超過(guò)10個(gè)字符的更復(fù)雜的密碼。
• 定期監(jiān)控和驗(yàn)證設(shè)備設(shè)置，以盡早檢測(cè)未經(jīng)授權(quán)的更改，并在檢測(cè)到泄露時(shí)將設(shè)備重置為出廠默認(rèn)設(shè)置并重新配置。

不過(guò)國(guó)內(nèi)的企業(yè)用戶不需要太過(guò)擔(dān)心，因?yàn)镮-O DATA UD-LT1和UD-LT1/EX LTE路由器主要在日本市場(chǎng)銷售，旨在支持NTT Docomo和KDDI等多個(gè)運(yùn)營(yíng)商，并兼容該國(guó)的主要MVNO SIM卡。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/japan-warns-of-io-data-zero-day-router-flaws-exploited-in-attacks/