draytek:-la-vulnerabilita-critica-rce-colpisce-29-modelli-di-router

DrayTek: la vulnerabilità critica RCE colpisce 29 modelli di router

Una vulnerabilità critica di esecuzione di codice remoto non autenticato ha colpito 29 modelli della serie di router aziendali DrayTek Vigor. Lo hanno scoperto i ricercatori di Trellix. 

La vulnerabilità è classificata come CVE-2022-32548 e ha un punteggio massimo di gravità CVSS v3 di 10.0, che la classifica come critica.

L’aggressore non ha bisogno di credenziali o dell’interazione dell’utente per sfruttare la vulnerabilità e la configurazione predefinita del dispositivo rende l’attacco praticabile via Internet e LAN.

Cosa possono fare gli hacker con questa vulnerabilità

Gli hacker che sfruttano questa vulnerabilità possono potenzialmente eseguire le seguenti azioni:

  • Acquisire completamente il dispositivo
  • Accedere alle informazioni
  • Porre le basi per attacchi furtivi di tipo man-in-the-middle
  • Modificare le impostazioni DNS
  • Utilizzare i router come bot DDoS o cryptominer
  • Passare ai dispositivi connessi alla rete violata.

L’ascesa dei dispositivi DrayTek

I dispositivi DrayTek Vigor sono diventati molto popolari durante la pandemia, cavalcando l’onda del “lavoro da casa”. Sono prodotti eccellenti ed economici per l’accesso VPN alle reti aziendali di piccole e medie dimensioni.

Una ricerca su Shodan ha restituito oltre 700.000 dispositivi online, la maggior parte dei quali si trova nel Regno Unito, in Vietnam, nei Paesi Bassi e in Australia.

Trellix ha deciso di valutare la sicurezza di uno dei modelli di punta di DrayTek a causa della sua popolarità. E ha scoperto che l’interfaccia di gestione web soffre di un problema di buffer overflow nella pagina di login.

Utilizzando una coppia di credenziali appositamente create come stringhe codificate in base64 nei campi di login, è possibile attivare la falla e prendere il controllo del sistema operativo del dispositivo.

I ricercatori hanno scoperto che almeno 200.000 dei router rilevati espongono il servizio vulnerabile su Internet. Quindi sono facilmente sfruttabili senza l’interazione dell’utente o altri prerequisiti particolari.

Dei restanti 500.000, si ritiene che molti siano sfruttabili con attacchi one-click, ma solo via LAN, quindi la superficie di attacco è più piccola.

DrayTek: ecco quali sono i modelli vulnerabili 

I modelli vulnerabili sono i seguenti:

  • Vigor3910
  • Vigor1000B
  • Serie Vigor2962
  • Serie Vigor2927
  • Serie Vigor2927 LTE
  • Serie Vigor2915
  • Vigor2952 / 2952P
  • Serie Vigor3220
  • Serie Vigor2926
  • Serie Vigor2926 LTE
  • Serie Vigor2862
  • Serie Vigor2862 LTE
  • Serie Vigor2620 LTE
  • VigorLTE 200n
  • Serie Vigor2133
  • Serie Vigor2762
  • Vigor167
  • Vigor130
  • VigorNIC 132
  • Vigor165
  • Vigor166
  • Serie Vigor2135
  • Serie Vigor2765
  • Serie Vigor2766
  • Vigor2832
  • Serie Vigor2865
  • Serie Vigor2865 LTE
  • Serie Vigor2866
  • Serie Vigor2866 LTE

DreyTek ha rilasciato rapidamente gli aggiornamenti di sicurezza per tutti i modelli sopra menzionati. Quindi visitate il centro di aggiornamento del firmware del fornitore e individuate la versione più recente per il vostro modello.

Infine, non sono state rilevate tracce di CVE-2022-32548. Ma, come ha riferito recentemente il CISA, i router SOHO sono sempre nel mirino di APT sponsorizzati dallo Stato, dalla Cina e da altri Paesi.

Greta Kapllani

Sono una ragazza albanese con una forte passione per le lingue e ciò che la comunicazione può creare se usata in modo strategico. Nel tempo libero mi piace leggere e scrivere poesie in lingue diverse.

Scopri tutti gli articoli di Greta Kapllani

Related Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.