Исследователи из компании Trellix обнаружили критическую уязвимость, позволяющую неавторизованному злоумышленнику выполнять произвольный код. Уязвимость отслеживается как CVE-2022-32548 (имеет максимальный балл по шкале CVSS – 10.0) и затрагивает 29 моделей роутеров для бизнеса DrayTek серии Vigor.
Для использования уязвимости злоумышленнику не требуются учетные данные или взаимодействие с пользователем – атаку на устройства в стандартной конфигурации легко провести через интернет или локальную сеть.
CVE-2022-32548 позволяет хакерам выполнить множество опасных действий, таких как:
Полный захват устройства;
Получение доступа к информации жертвы;
Подготовка почвы для MitM-атак ;
Изменение настроек DNS;
Использование маршрутизаторов в качестве части ботнета для DDoS-атак и криптомайнеров;
Получение доступа к устройствам, подключенным к взломанной сети.
Поиск в Shodan выявил более 700 000 устройств, большая часть которых находится в Великобритании, Вьетнаме, Нидерландах и Австралии. Обнаружив устройства, исследователи Trellix решили оценить безопасность одной из флагманских моделей DrayTek и нашли уязвимость переполнения буфера на странице входа в веб-интерфейс маршрутизатора.
Чтобы получить контроль над ОС устройства, злоумышленнику достаточно использовать набор закодированных в base64 учетных данных, которые вводятся в поля для входа. По словам исследователей, по меньшей мере 200 000 из обнаруженных 700 000 маршрутизаторов уязвимы. Оставшиеся 500 000 также могут быть атакованы хакерами, но только через локальную сеть и с использованием CSRF (межсайтовой подделки запроса).
CVE-2022-32548 подвержены следующие модели роутеров:
Vigor3910
Vigor1000B
Vigor2962 Series
Vigor2927 Series
Vigor2927 LTE Series
Vigor2915 Series
Vigor2952 / 2952P
Vigor3220 Series
Vigor2926 Series
Vigor2926 LTE Series
Vigor2862 Series
Vigor2862 LTE Series
Vigor2620 LTE Series
VigorLTE 200n
Vigor2133 Series
Vigor2762 Series
Vigor167
Vigor130
VigorNIC 132
Vigor165
Vigor166
Vigor2135 Series
Vigor2765 Series
Vigor2766 Series
Vigor2832
Vigor2865 Series
Vigor2865 LTE Series
Vigor2866 Series
Vigor2866 LTE Series
DrayTek оперативно выпустила патчи для всех затронутых устройств и порекомендовала пользователям как можно скорее установить исправление. С дополнительной информацией и руководством по установке исправлений можно ознакомиться на сайте DrayTek .
Источник: SecurityLab