La vulnerabilità critica di RCE interessa 29 modelli di router DrayTek
Pubblicato da Angelo Domeneghini in Vulnerabilità Firewall/Modem/Router_BUG · 5 Agosto 2022
Tags: #sicurezza, #vulnerabilità, #, draytek
Tags: #sicurezza, #vulnerabilità, #, draytek
*aggiornate subito i vostri router DrayTek*
La vulnerabilità critica di RCE interessa 29 modelli di router DrayTek
I ricercatori di Trellix hanno scoperto una vulnerabilità critica di esecuzione di codice remoto (RCE) non autenticata che ha un impatto su 29 modelli della serie di router aziendali DrayTek Vigor.
La vulnerabilità viene rilevata come CVE-2022-32548 e presenta un punteggio di gravità CVSS v3 massimo di 10,0, classificandola come critica.
L'attaccante non ha bisogno di credenziali o dell'interazione dell'utente per sfruttare la vulnerabilità, con la configurazione predefinita del dispositivo che rende l'attacco fattibile tramite Internet e LAN.
Gli hacker che sfruttano questa vulnerabilità potrebbero potenzialmente eseguire le seguenti azioni:
acquisizione completa del dispositivo,
accesso alle informazioni,
gettando le basi per attacchi furtivi man-in-the-middle,
modifica delle impostazioni DNS,
utilizzando i router come DDoS o bot cryptominer,
o passando a dispositivi connessi alla rete violata.
Impatto diffuso
I dispositivi DrayTek Vigor sono diventati molto popolari durante la pandemia cavalcando l'onda del "lavoro da casa". Sono ottimi prodotti economici per l'accesso VPN alle reti di piccole e medie imprese.
Una ricerca Shodan ha restituito oltre 700.000 dispositivi online, la maggior parte situati nel Regno Unito, Vietnam, Paesi Bassi e Australia.
Trellix ha deciso di valutare la sicurezza di uno dei modelli di punta di DrayTek a causa della sua popolarità e ha scoperto che l'interfaccia di gestione web soffre di un problema di overflow del buffer nella pagina di accesso.
Utilizzando una coppia di credenziali appositamente predisposta come stringhe codificate in base64 nei campi di accesso, è possibile attivare il difetto e assumere il controllo del sistema operativo del dispositivo.
I ricercatori hanno scoperto che almeno 200.000 dei router rilevati espongono il servizio vulnerabile su Internet e quindi sono prontamente sfruttabili senza l'interazione dell'utente o altri prerequisiti speciali.
Dei restanti 500.000, si ritiene che molti siano sfruttabili anche utilizzando attacchi con un clic, ma solo tramite LAN, quindi la superficie di attacco è più piccola.
I modelli vulnerabili sono i seguenti:
Vigore3910
Vigore1000B
Vigor2962 Serie
Vigor2927 Serie
Serie Vigor2927 LTE
Serie Vigor2915
Vigor2952 / 2952P
Serie Vigor3220
Vigor2926 Serie
Serie Vigor2926 LTE
Vigor2862 Serie
Serie Vigor2862 LTE
Serie Vigor2620 LTE
VigorLTE 200n
Vigor2133 Serie
Vigor2762 Serie
Vigore167
Vigore130
VigorNIC 132
Vigore165
Vigore166
Serie Vigor2135
Vigor2765 Serie
Vigor2766 Serie
Vigore2832
Vigor2865 Serie
Serie Vigor2865 LTE
Vigor2866 Serie
Serie Vigor2866 LTE
DreyTek ha rilasciato rapidamente aggiornamenti di sicurezza per tutti i modelli sopra menzionati, quindi vai al centro di aggiornamento del firmware del fornitore e individua la versione più recente per il tuo modello.
Per informazioni sull'esecuzione dell'aggiornamento del firmware sul router, consulta questa guida di DreyTek.
Non ci sono stati segni di CVE-2022-32548, ma come riportato di recente dalla CISA, i router SOHO sono sempre nel mirino degli APT sponsorizzati dallo stato dalla Cina e altrove.