Lỗ hổng RCE nghiêm trọng ảnh hưởng tới 29 mẫu router của DrayTek

Các nhà nghiên cứu của hãng bảo mật Trellix vừa phát hiện ra một lỗ hổng thực thi code từ xa (RCE) không cần xác thực ảnh hưởng tới 29 mẫu router của hãng DrayTek. Đáng chú ý là các sản phẩm bị ảnh hưởng đều thuộc dòng Virgo dành cho doanh nghiệp.

Lỗ hổng này được theo dõi dưới mã CVE-2022-32548 và được chấm điểm 10, điểm tối đa trong thang độ nguy hiểm CVSSv3. Vì lý do đó, CVE-2022-32548 được đánh giá là cực kỳ nguy hiểm và cần có biện pháp khắc phục, giảm thiểu ngay lập tức.

Để khai thác CVE-2022-32548, hacker không cần tới thông tin đăng nhập hay bất cứ tương tác nào của nạn nhân. Cấu hình mặc định của thiết bị cho phép cuộc tấn công được thực hiện thông qua mạng internet và mạng LAN.

Hacker khai thác thành công lỗ hổng CVE-2022-32548 có thể thực hiện các hành vi sau:

• Kiểm soát hoàn toàn thiết bị.
• Thiết lập nền tảng cho các cuộc tấn công man-in-the-middle.
• Thay đổi cài đặt DNS.
• Sử dụng các router làm bot cho những cuộc tấn công DDoS hoặc khai thác tiền ảo...

Ảnh hưởng trên diện rộng

Các thiết bị DrayTek Vigor trở nên rất phổ biến trong thời kỳ đại dịch do làn sóng làm việc tại nhà. Chúng là những sản phẩm giá hợp lý cho việc truy cập VPN vào các mạng doanh nghiệp vừa và nhỏ.

Tìm kiếm nhanh trên Shodan cho kết quả là có hơn 700.000 thiết bị DrayTek Virgo đang kết nối internet. Hầu hết các thiết bị này nằm ở Anh, Việt Nam, Hà Lan và Úc.

Trellix đã quyết định đánh giá độ bảo mật của một trong những mẫu router hàng đầu của DrayTek. Kết quả cho thấy giao diện quản lý web gặp sự cố tràn bộ đệm trên trang đăng nhập.

Sử dụng một cặp thông tin xác thực được tạo ra theo cách đặc biệt dưới dạng chuỗi được mã hóa base64 trong các trường đăng nhập, hacker có thể kích hoạt lỗ hổng và keierm soát hệ điều hành của thiết bị.

Các nhà nghiên cứu tìm thấy ít nhất 200.000 trong số các bộ định tuyến được phát hiện trên Shodan để lộ dịch vụ dễ bị tấn công trên internet và do đó có thể dễ dàng khai thác mà không cần sự tương tác của người dùng hoặc bất kỳ điều kiện tiên quyết đặc biệt nào khác.

Trong số 500.000 còn lại, nhiều thiết bị có thể khai thác bằng các cuộc tấn công one-click nhưng chỉ thông qua mạng LAN nên bề mặt tấn công nhỏ hơn.

Danh sách các thiết bị bị ảnh hưởng bao gồm:

• Vigor3910
• Vigor1000B
• Vigor2962 Series
• Vigor2927 Series
• Vigor2927 LTE Series
• Vigor2915 Series
• Vigor2952 / 2952P
• Vigor3220 Series
• Vigor2926 Series
• Vigor2926 LTE Series
• Vigor2862 Series
• Vigor2862 LTE Series
• Vigor2620 LTE Series
• VigorLTE 200n
• Vigor2133 Series
• Vigor2762 Series
• Vigor167
• Vigor130
• VigorNIC 132
• Vigor165
• Vigor166
• Vigor2135 Series
• Vigor2765 Series
• Vigor2766 Series
• Vigor2832
• Vigor2865 Series
• Vigor2865 LTE Series
• Vigor2866 Series
• Vigor2866 LTE Series

DrayTek đã nhanh chóng phát hành bản cập nhật bảo mật cho các thiết bị kể trên. Nếu đang dùng các thiết bị có trong danh sách trên, bạn hãy tìm và tải về bản firmware mới nhất sau đó cài đặt để vá lỗ hổng.