Trellix'teki araştırmacılar, Draytek Vigor serisi iş yönlendiricilerinin 29 modelini etkileyen kritik bir kimlik doğrulanmamış uzaktan kod yürütme (RCE) güvenlik açığı keşfettiler.
Güvenlik açığı CVE-2022-32548 olarak izlenir ve 10.0 maksimum CVSS V3 şiddet skoru taşır ve kritik olarak kategorize eder.
Saldırganın, güvenlik açığından yararlanmak için kimlik bilgilerine veya kullanıcı etkileşimine ihtiyacı yoktur, varsayılan cihaz yapılandırması saldırıyı İnternet ve LAN üzerinden uygulanabilir hale getirir.
Bu güvenlik açığından yararlanan bilgisayar korsanları potansiyel olarak aşağıdaki eylemleri gerçekleştirebilir:
Draytek Vigor Cihazları, "Evden İş" dalgasına binerek pandemi sırasında çok popüler hale geldi. Küçük ve orta ölçekli iş ağlarına VPN erişimi için mükemmel maliyet tasarruflu ürünlerdir.
Bir Shodan araması, çoğu İngiltere, Vietnam, Hollanda ve Avustralya'da bulunan 700.000'den fazla çevrimiçi cihaza geri döndü.
Trellix, popülaritesi nedeniyle Draytek'in amiral gemisi modellerinden birinin güvenliğini değerlendirmeye karar verdi ve web yönetimi arayüzünün giriş sayfasında bir tampon taşma sorunundan muzdarip olduğunu buldu.
Oturum açma alanlarında Base64 kodlu dizeler olarak özel olarak hazırlanmış bir çift kimlik bilgisi kullanarak, kusuru tetikleyebilir ve cihazın işletim sisteminin kontrolünü ele geçirebilir.
Araştırmacılar, internette savunmasız hizmeti ortaya çıkarmak için tespit edilen yönlendiricilerin en az 200.000'ini buldular ve bu nedenle kullanıcı etkileşimi veya başka herhangi bir özel önkoşul olmadan kolayca kullanılabilir.
Geri kalan 500.000 kişiden birçoğunun tek tıklamalı saldırılar kullanılarak sömürülebilir olduğuna inanılıyor, ancak sadece LAN aracılığıyla, bu nedenle saldırı yüzeyi daha küçük.
Savunmasız modeller şunlardır:
Draytek, yukarıda belirtilen tüm modeller için güvenlik güncellemelerini hızla yayınladı, bu nedenle satıcının ürün yazılımı güncelleme merkezine gidin ve modeliniz için en son sürümü bulun.
Yönlendiricinizdeki ürün yazılımı güncellemesini gerçekleştirme hakkında bilgi için Dreytek'in bu kılavuzuna göz atın.
CVE-2022-32548 belirtisi yoktu, ancak CISA'nın son zamanlarda bildirdiği gibi, Soho yönlendiricileri her zaman Çin'den ve başka yerlerden devlet destekli APT'lerin artıda.
Cisco, VPN yönlendiricilerindeki kritik uzaktan kumanda yürütme hatasını düzeltir
PHP Web Kabuklarını Yüklemek İçin Büyük Kampanyada Hacklenen Elastix VoIP Systems
Cisco, yaşam sonu VPN yönlendiricilerinde sıfır gün RCE'yi düzeltmeyeceğini söylüyor
Şüpheli fidye yazılımı saldırısında bilgisayar korsanları tarafından kullanılan Mitel Zero-Day
Kritik PHP kusuru, QNAP NAS cihazlarını RCE saldırılarına maruz bırakır
Kaynak: Bleeping Computer