Af Eskil Sørensen, 08/08/22
Sikkerhedsresearchere Forskere ved Trellix har opdaget en kritisk RCE-sårbarhed, der påvirker 29 routermodeller i DrayTek Vigor-serien. Det skriver Bleeping Computer.
Sårbarheden har id-nummeret CVE-2022-32548 og med en score 10,0 på CVSS-skalaen kan den ikke være mere kritisk.
Årsagen til den høje score er, at en angriber ikke har behov for hverken legitimationsoplysninger eller brugerinteraktion for at udnytte sårbarheden. Routernes standardkonfiguration gør det muligt at iværksætte et angreb via internettet og LAN. Og når det er en RCE-sårbarhed, altså en remote-code-execution, kan angribere overtage enheden, få adgang til information, ændre DNS-indstillinger, skabe grundlaget for man-in-the-middle-angreb og bruge routerne til DDoS eller cryptominer bots eller få adgang til de enheder, der er tilsluttet netværket.
Der har angiveligt ikke været tegn på udnyttelse af sårbarheden, men CISA rapporterede for nylig, at de såkaldte SOHO-routere altid i søgelyset for statssponsorerede APT'er fra Kina og andre steder. SOHO-routere anvendes primært på hjemmekontoret, hvorfor hackere har mulighed for at indhente data fra mange brugere til videre anvendelse, når sårbarheden er nem at udnytte og opdatering af routere ikke står højst på dagsordenen. Det gør det typisk ikke blandt ikke-professionelle.
Ifølge Bleeping Computer blev DrayTek Vigor-enheder blev meget populære under pandemien. De fleste bruges i Storbritannien, Vietnam, Holland og Australien.
Selv om de ikke ser ud til at blive anvendt i Danmark, minder historien os om, at selv om en router står gemt derhjemme under skrivebordet eller i et skab, så skal den også vedligeholdes og løbende opdateres.
Links:
https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/rce-in-dratyek-routers.html