La vulnerabilità critica di RCE interessa 29 modelli di router DrayTek

Pubblicato da Angelo Domeneghini in Vulnerabilità Firewall/Modem/Router_BUG · 5 Agosto 2022
Tags: #sicurezza, #vulnerabilità, #, draytek

*aggiornate subito i vostri router DrayTek*

La vulnerabilità critica di RCE interessa 29 modelli di router DrayTek

I ricercatori di Trellix hanno scoperto una vulnerabilità critica di esecuzione di codice remoto (RCE) non autenticata che ha un impatto su 29 modelli della serie di router aziendali DrayTek Vigor.

La vulnerabilità viene rilevata come CVE-2022-32548 e presenta un punteggio di gravità CVSS v3 massimo di 10,0, classificandola come critica.

L'attaccante non ha bisogno di credenziali o dell'interazione dell'utente per sfruttare la vulnerabilità, con la configurazione predefinita del dispositivo che rende l'attacco fattibile tramite Internet e LAN.

Gli hacker che sfruttano questa vulnerabilità potrebbero potenzialmente eseguire le seguenti azioni:

acquisizione completa del dispositivo,

accesso alle informazioni,

gettando le basi per attacchi furtivi man-in-the-middle,

modifica delle impostazioni DNS,

utilizzando i router come DDoS o bot cryptominer,

o passando a dispositivi connessi alla rete violata.

Impatto diffuso

I dispositivi DrayTek Vigor sono diventati molto popolari durante la pandemia cavalcando l'onda del "lavoro da casa". Sono ottimi prodotti economici per l'accesso VPN alle reti di piccole e medie imprese.

Una ricerca Shodan ha restituito oltre 700.000 dispositivi online, la maggior parte situati nel Regno Unito, Vietnam, Paesi Bassi e Australia.

Trellix ha deciso di valutare la sicurezza di uno dei modelli di punta di DrayTek a causa della sua popolarità e ha scoperto che l'interfaccia di gestione web soffre di un problema di overflow del buffer nella pagina di accesso.

Utilizzando una coppia di credenziali appositamente predisposta come stringhe codificate in base64 nei campi di accesso, è possibile attivare il difetto e assumere il controllo del sistema operativo del dispositivo.

I ricercatori hanno scoperto che almeno 200.000 dei router rilevati espongono il servizio vulnerabile su Internet e quindi sono prontamente sfruttabili senza l'interazione dell'utente o altri prerequisiti speciali.

Dei restanti 500.000, si ritiene che molti siano sfruttabili anche utilizzando attacchi con un clic, ma solo tramite LAN, quindi la superficie di attacco è più piccola.

I modelli vulnerabili sono i seguenti:

Vigore3910

Vigore1000B

Vigor2962 Serie

Vigor2927 Serie

Serie Vigor2927 LTE

Serie Vigor2915

Vigor2952 / 2952P

Serie Vigor3220

Vigor2926 Serie

Serie Vigor2926 LTE

Vigor2862 Serie

Serie Vigor2862 LTE

Serie Vigor2620 LTE

VigorLTE 200n

Vigor2133 Serie

Vigor2762 Serie

Vigore167

Vigore130

VigorNIC 132

Vigore165

Vigore166

Serie Vigor2135

Vigor2765 Serie

Vigor2766 Serie

Vigore2832

Vigor2865 Serie

Serie Vigor2865 LTE

Vigor2866 Serie

Serie Vigor2866 LTE

DreyTek ha rilasciato rapidamente aggiornamenti di sicurezza per tutti i modelli sopra menzionati, quindi vai al centro di aggiornamento del firmware del fornitore e individua la versione più recente per il tuo modello.

https://www.draytek.com/support/latest-firmwares/

Per informazioni sull'esecuzione dell'aggiornamento del firmware sul router, consulta questa guida di DreyTek.

https://draytek.co.uk/support/guides/kb-firmwareupgrade-webui

Non ci sono stati segni di CVE-2022-32548, ma come riportato di recente dalla CISA, i router SOHO sono sempre nel mirino degli APT sponsorizzati dallo stato dalla Cina e altrove.

https://www.bleepingcomputer.com/news/security/critical-rce-vulnerability-impacts-29-models-of-draytek-routers/