DrayTek a publié des mises à jour de sécurité pour plusieurs modèles de routeurs afin de corriger 14 vulnérabilités de gravité variable, y compris une faille d’exécution de code à distance qui a reçu le score CVSS maximum de 10.
Les failles découvertes par Forescout Research-Vedere Labs ont un impact à la fois sur les modèles activement soutenus et sur ceux qui ont atteint la fin de vie. Cependant, en raison de la gravité, DrayTek a fourni des correctifs pour les routeurs dans les deux catégories.
Les chercheurs ont averti que leurs analyses avaient révélé qu’environ 785 000 routeurs DrayTek pourraient être vulnérables à l’ensemble de failles nouvellement découvertes, dont plus de 704 500 dont l’interface Web était exposée à Internet.
Détails de la vulnérabilité
La plupart des vulnérabilités découvertes par Vedere Labs sont des problèmes de débordement de tampon de gravité moyenne et de script intersite dictés par plusieurs exigences d’exploitation.
Cependant, cinq des défauts comportent des risques importants, nécessitant une attention immédiate. Ceux-ci sont résumés comme suit:
- ACT-2024-0006: Une vulnérabilité de débordement de tampon dans la fonction » GetCGI () », responsable du traitement des données de requête HTTP, pouvant entraîner un déni de service (DoS) ou une exécution de code à distance (RCE). (Score CVSS: 10,0)
- FSCT-2024-0007: Injection de commandes dans la communication avec le système d’exploitation – Le binaire « recvCmd » utilisé pour la communication entre les systèmes d’exploitation hôte et invité est vulnérable aux attaques par injection de commandes, permettant potentiellement à la machine virtuelle de s’échapper. (Score CVSS: 9,1)
- FSCT-2024-0014: Le serveur Web principal utilise une chaîne statique pour amorcer le générateur de nombres pseudo-aléatoires (PRNG) dans OpenSSL pour les connexions TLS, ce qui pourrait entraîner la divulgation d’informations et des attaques de l’homme du milieu (MiTM). (Score CVSS: 7,6)
- FAIT-2024-0001: L’utilisation d’informations d’identification d’administrateur identiques sur l’ensemble du système peut entraîner une compromission complète du système si ces informations d’identification sont obtenues. (Score CVSS: 7,5)
- FAIT-2024-0002: Une page HTML dans l’interface utilisateur Web gère incorrectement les entrées, ce qui permet de refléter les vulnérabilités XSS. (Score CVSS: 7,5)
Pour l’instant, il n’y a eu aucun rapport d’exploitation active de ces failles, et la publication des détails analytiques a été suspendue pour laisser suffisamment de temps aux utilisateurs pour appliquer les mises à jour de sécurité.
Les défauts ci-dessus affectent 24 modèles de routeurs, dont 11 ont atteint la fin de vie mais ont encore reçu des correctifs.
Les modèles concernés et les versions de micrologiciel cibles vers lesquelles effectuer la mise à niveau sont visibles dans le tableau ci-dessous.
Plus de 700 000 appareils Draytek exposés en ligne
Verdere Labs rapporte qu’il a découvert que plus de 704 500 appareils ont l’interface utilisateur Web Draytek Vigor exposée à Internet, bien qu’elle ne devrait être accessible qu’à partir d’un réseau local.
Près de la moitié des appareils sous visibilité directe de Forescout sont situés aux États-Unis, mais les résultats de Shodan montrent un nombre significatif au Royaume-Uni, au Vietnam, aux Pays-Bas et en Australie.
Outre l’application des dernières mises à jour du micrologiciel, il est recommandé aux utilisateurs de prendre les mesures suivantes:
- Désactivez l’accès à distance s’il n’est pas nécessaire et utilisez une liste de contrôle d’accès et une authentification à deux facteurs lorsqu’elle est active.
- Vérifiez les paramètres pour des modifications arbitraires ou l’ajout d’utilisateurs administrateurs ou de profils d’accès à distance.
- Désactivez les connexions VPN SSL via le port 443.
- Activez la journalisation syslog pour surveiller les événements suspects.
- Activez la mise à niveau automatique vers les pages HTTPs sur votre navigateur Web.
Tous les utilisateurs de DrayTek doivent confirmer que la console d’accès à distance de leur appareil est désactivée, car les exploits et les attaques par force brute ciblent généralement ces services.