Oltre 700.000 Router DrayTek a Rischio: Hacking Tramite 14 Vulnerabilità Critiche
I router DrayTek, molto diffusi in ambito residenziale e aziendale, sono stati colpiti da 14 nuove vulnerabilità che potrebbero essere sfruttate per prendere il controllo dei dispositivi, mettendo a rischio le reti.
Vulnerabilità di Sicurezza nei Router
Secondo il rapporto tecnico di Forescout Vedere Labs, queste falle, definite DRAY:BREAK, permetterebbero agli hacker di iniettare codice malevolo, garantendo loro accesso ai router compromessi e, di conseguenza, alle reti aziendali connesse. Tra queste vulnerabilità, due sono classificate come critiche, nove sono ad alto rischio e tre a rischio medio.
Dettagli Tecnici delle Vulnerabilità
La vulnerabilità più grave, classificata con un punteggio CVSS di 10.0, riguarda un buffer overflow nella funzione GetCGI() dell'interfaccia Web, che può portare all'esecuzione di codice remoto o a un attacco DoS (Denial of Service).
Un'altra vulnerabilità critica (CVE-2024-41585, punteggio CVSS: 9.1) è legata a un'iniezione di comandi nel sistema operativo attraverso il binario recvCmd utilizzato per la comunicazione tra il sistema host e quello guest.
Altre vulnerabilità rilevanti includono:
- CVE-2024-41589 (CVSS score: 7.5): Uso di credenziali amministrative identiche su tutto il sistema, consentendo la compromissione totale.
- CVE-2024-41591 (CVSS score: 7.5): Vulnerabilità XSS riflessa nell'interfaccia Web.
- CVE-2024-41587 (CVSS score: 4.9): Vulnerabilità XSS memorizzata nell'interfaccia Web quando si configura un messaggio di benvenuto personalizzato.
- CVE-2024-41583 (CVSS score: 4.9): Vulnerabilità XSS memorizzata nell'interfaccia Web durante la configurazione di un nome router personalizzato.
- CVE-2024-41588 (CVSS score: 7.2): Vulnerabilità di overflow del buffer nelle pagine CGI dell'interfaccia Web.
- CVE-2024-41593 (CVSS score: 7.2): Overflow del buffer basato su heap nella funzione ft_payloads_dns() dell'interfaccia Web, portando a un attacco DoS.
Modelli di Router Colpiti
I modelli più esposti includono:
- Vigori 1000B, Vigor2962, Vigor3910: Versioni corrette: 4.3.2.8 e 4.4.3.1.
- Vigor165, Vigor166: Versione corretta: 4.2.7.
- Vigor2865, Vigor2866, Vigor2915: Versione corretta: 4.4.5.3.
- Vigor2135, Vigor2763, Vigor2765, Vigor2766: Versione corretta: 4.4.5.1.
Il rapporto di Forescout evidenzia che oltre 704.000 router DrayTek hanno l'interfaccia Web esposta su Internet, il che li rende vulnerabili agli attacchi. Gli Stati Uniti, seguiti da Vietnam, Paesi Bassi, Taiwan e Australia, sono i Paesi più colpiti.
Misure di Protezione
Per proteggere i dispositivi da queste nuove vulnerabilità, DrayTek ha rilasciato patch correttive per i modelli affetti. Tuttavia, per garantire una protezione completa, è consigliato disabilitare l'accesso remoto, usare liste di controllo accessi (ACL) e implementare l'autenticazione a due fattori (2FA).