A Censys kutatása 14 sebezhetőséget tárt fel a DrayTek Vigor routerekben, amelyeket 2024. október 2-án hoztak nyilvánosságra. A British Telecoms az egyik legsebezhetőbb hoszt, amelyet a vietnami, hollandiai, tajvani és német hosztok követnek.
A biztonsági rések a vállalkozások és az otthoni felhasználók számára is kockázatot jelentenek, lehetővé téve a támadók számára, hogy potenciálisan átvegyék az irányítást a hálózati eszközök felett, és további támadásokat indítsanak.
A legsúlyosabb sérülékenységek:
CVE-2024-41592 (CVSS érték: 10.0): Ez a kritikus buffer overflow sebezhetőség a webes felületen a CVE-2024-41585-tel együtt kihasználva a router összeomlásához (DoS) vagy akár a teljes irányítás megszerzéséhez (RCE) vezethet. A hiba egy hosszú string query elküldésével váltható ki a CGI oldalakon.
CVE-2024-41585 (CVSS érték: 9.1): Ez a sebezhetőség egy OC parancsinjekciós hiba, amely lehetővé teszi a támadók számára, hogy rosszindulatú kódot juttassanak be a router operációs rendszerébe, ami potenciálisan teljes hozzáférést biztosít az eszközhöz. A kihasználási lánc a Vigor 3910-es és 3912-es modelleket érinti.
CVE-2024-41586: A router webes felületén található XSS sebezhetőség lehetővé teheti a támadó számára, hogy rosszindulatú kódot juttasson be a felhasználók által látogatott weboldalakba, amely jogosulatlan hozzáférést vagy adatlopást eredményezhet.
CVE-2024-41587: A webes felület egy másik XSS sebezhetőségét kihasználva érzékeny adatokat (pl. bejelentkezési) lehet ellopni a felhasználóktól.
CVE-2024-41588: A router Telnet szolgáltatásában található távoli kódfuttatási sebezhetőség lehetővé teheti a támadó számára, hogy jogosulatlanul hozzáférjen az eszközhöz, és tetszőleges parancsokat hajtson végre.
A Censys a Hackread.com-mal megosztott jelentése szerint jelenleg több mint 700 000 DrayTek Vigor router érhető el az interneten keresztül, ami könnyű célponttá teszi őket a támadók számára.
Ezeknek a sebezhetőségeknek a kihasználása dominóhatáshoz vezethet, ami lehetővé teszi a támadók számára, hogy az egész hálózatot veszélyeztessék. Ráadásul a DrayTek routerek már korábban is célpontok voltak: az FBI beszámolt a kínaiak által szponzorált botnet-tevékenységről, amely a DrayTek routerek régebbi CVE-it használta, és a Volt Typhoon 2023-ban SOHO hálózati berendezéseket használt ki támadások végrehajtásához, így a javítás szükségessé vált.
A DrayTek az összes említett sebezhetőségre adott ki javítócsomagot. Fontos a router firmware-jének mielőbbi frissítése a legújabb verzióra, de a védelem érdekében ajánlott a legjobb biztonsági gyakorlatok követése, például a router webes felületéhez való távoli hozzáférés letiltása és a kétfaktoros hitelesítés (2FA) engedélyezése.
