Bleeping Computer 网站披露,Trellix 的研究人员发现一个严重的远程代码执行 (RCE) 漏洞,该漏洞会对 29 种型号的 DrayTek Vigor 商业路由器产生严重影响。
RCE 漏洞被跟踪为 CVE-2022-32548,最高 CVSS v3 严重性评分为 10.0,将其归类为严重漏洞。据悉,攻击者无需凭据或用户交互即可利用 CVE-2022-32548 漏洞,默认设备配置使攻击可以通过 Internet 和 LAN 进行。
潜在攻击者能够利用该漏洞进行下列操作:
- 完全接管受害者设备
- 访问受害者信息
- 为隐蔽的中间人攻击奠定基础
- 更改 DNS 设置
- 将路由器用作 DDoS 或加密矿工机器人
漏洞产生了广泛影响
新冠疫情期间,DrayTek Vigor 路由设备趁着“居家办公”的浪潮变得非常流行,成为中小型企业网络 VPN 接入的优秀产品。
通过 Shodan 搜索可以发现,目前大约有 70 万台 DrayTek 路由设备在线运行,其中大部分位于英国、越南、荷兰和澳大利亚等地。
Trellix 对一款 DrayTek 旗舰机型的安全性做了评估,发现 Web 管理界面在登录页面上存在缓冲区溢出问题。研究人员在登录字段中使用一对特制的凭据作为 base64 编码字符串,可以触发漏洞并控制设备的操作系统。
另外,研究人员发现在检测到的路由器中,至少有 20 万台路由器在互联网上暴露了易受攻击的服务,潜在攻击者无需用户交互或任何其他特殊先决条件即可轻松利用。在其余 50 万台路由器当中,部分也可以使用一键式攻击来利用,但只能通过 LAN,因此攻击面较小。
易受攻击的型号如下:
- Vigor3910
- Vigor1000B
- Vigor2962系列
- Vigor2927系列
- Vigor2927 LTE 系列
- Vigor2915 系列
- Vigor2952 / 2952P
- Vigor3220 系列
- Vigor2926 系列
- Vigor2926 LTE 系列
- Vigor2862 系列
- Vigor2862 LTE 系列
- Vigor2620 LTE 系列
- VigorLTE 200n
- Vigor2133 系列
- Vigor2762 系列
- Vigor167
- Vigor130
- VigorNIC 132
- Vigor165Vigor166
- Vigor2135 系列
- Vigor2765系列
- Vigor2766系列
- Vigor2832系列
- Vigor2865 系列
- Vigor2865 LTE 系列
- Vigor2866系列
- Vigor2866 LTE 系列
目前,DreyTek 已经发布了上述所有型号的安全更新,用户可以浏览供应商的固件更新中心,尽快更新到最新版本。
参考文章:https://www.bleepingcomputer.com/news/security/critical-rce-vulnerability-impacts-29-models-of-draytek-routers/
