Industriële routers van het Chinese bedrijf Milesight bevatten een ernstige kwetsbaarheid. Het beveiligingsprobleem kan systeemlogbestanden waarin allerlei gevoelige informatie is opgenomen laten uitlekken. Hoewel het lek eerder al door Milesight is gedicht, zijn er nog altijd kwetsbare systemen en buiten kwaadwillenden het beveiligingsprobleem momenteel op kleine schaal uit.

Het gaat om CVE-2023-43261, dat industriële cellulaire routers van Milesight treft. Het lek is aanwezig in de Milesight UR5X, UR32L, UR32, UR35 en UR41 routers, en is gedicht in versie 35.3.0.7 van de software. Alle eerdere versies van de software zijn dus kwetsbaar.

Proof-of-concept beschikbaar

Beveiligingsonderzoeker Bipin Jitiya gaf eerder deze maand details en een proof-of-concept vrij. Jitiya meldt Milesight van het beveiligingsprobleem op de hoogte te hebben gesteld. De Chinese fabrikant stelt het lek echter eerder al te hebben ontdekt en inmiddels via patches te hebben gedicht.

VulnCheck meldt deze week dat de kwetsbaarheid inderdaad vermoedelijk al enkele jaren geleden door Milesight is gepatcht. In totaal zijn via zoekmachines Shodan en Censys zo'n 5.500 apparaten van Milesight te vinden die met internet zijn verbonden. Hiervan zijn minder dan 400 apparaten kwetsbaar, wat neerkomt op zo'n 6,5 procent.

Op kleine schaal uitgebuit

Desondanks meldt het bedrijf op kleine schaal misbruik van CVE-2023-43261 te zien. VulnCheck wijst op een inlogpoging van een ongeautoriseerde partij op een zestal Milesight-apparaten op 2 oktober. Deze systemen zijn benaderbaar via IP-adressen die terug te leiden zijn naar Frankrijk, Litouwen en Noorwegen. Ook meldt VulnCheck dat de apparaten in kwestie niet gerelateerd lijken te zijn en allen van verschillende niet-standaard inloggegevens zijn voorzien.